CA部署方案两篇.doc

CA部署方案两篇
第1条
安装根证书颁发机构的准备卸载“证书更新”组件安装“证书服务”组件。

如果在详细信息中选择了“证书服务网站注册支持”，则需要安装IIS服务。

如果安装了企业根证书颁发机构，首先确保它在域环境和DC上运行。

如果安装了独立的根证书颁发机构，安装操作可以在域环境或工作组环境中执行。

在安装过程中，操作系统安装光盘可以放入光驱。

在安装组件中，可以删除“证书更新”组件，可以选择“证书服务”组件，可以通过单击“下一步”来选择企业根证书颁发机构(或独立根证书颁发机构)，可以通过使用自定义设置来选择密钥对和证书颁发机构证书，并且可以通过单击“公钥/私钥”对话框中的“下一步”在证书颁发机构标识信息对话框中输入证书颁发机构的名称。

单击“下一步”在“证书数据库设置”对话框中选择数据库位置(可以是默认的)。

单击下一步，在完成向导中完成子CA的部署。

离线申请证书(申请.申请文件)。

取消添加和删除WINDOWS组件中的“证书更新”组件。

选择证书服务组件，单击下一步选择企业下属的证书颁发机构，选择生成密钥对和具有自定义设置的证书颁发机构证书，单击“下一步”在“公钥/私钥对”对话框中使用默认设置，单击“下一步”在“ca标识信息”对话框中输入此CA的名称，单击“下一步”在“证书数据库设置”对话框中使用默认设置，单击“下一步”在“证书应用程序”对话框中选择“将应用程序保存到文件”选择保存路径，单击“下一步”
将生成的.请求文件复制到根CA，并在使用网络浏览器的根证书颁发机构(http//根证书颁发机构主机名/cert SRV-应用程序证书-高级证书应用程序-代码.-在保存的应用程序中粘贴.请求文件的内容，在证书模板中选择从属证书颁发机构，单击提交)使用网络浏览器下载根证书颁发机构上的证书链(http//根证书颁发机构主机名/cert SRV-查看待定证书请求-下载证书链)将下载的证书链复制到子证书颁发机构，使用MMC管理单元安装证书链在子证书颁发机构管理单元中联机启动服务请求证书颁发机构证书取消添加和删除WINDOWS组件中的“证书更新”组件。

选择“证书服务组件”单击“下一步”选择企业下属的证书颁发机构，选择“使用自定义设置生成密钥对和证书颁发机构证书”，单击“下一步”在“公钥/私钥对”对话框中使用默认设置，单击“下一步”在“证书身份信息”对话框中输入此证书颁发机构的名称，单击“下一步”在“证书数据库设置”对话框中使用默认设置，单击“下一步”在“证书应用程序”对话框中选择一个证书颁发机构将应用程序直接发送到网络，单击“浏览”选择根证书颁发机构，单击“下一步”在“完成安装向导”中选择“完成”(如果在根证书颁发机构上选择了自动证书颁发设置，则子证书颁发机构的安装已完全完成)打开证书颁发机构管理单元，右键单击证书颁发机构名称-启动服务上的所有任务，在弹出对话框中选择“是”，取消在根证书颁发机构上颁发证书以打开证书颁发机构管理单元。

右键单击CA名称上的所有任务-启动服务完成第二部分，第二部分，CACA部署方案部署方案1。

CA (Certificate
Authority)配置概述由于安全问题日益严重，为了保证数据传输的机密性和双方身份的确定性，我们需要采用一种安全机制来实现这些功能。

这里我们将讨论下面的PKI系统中的“证书”，即如何建立一个CA环境来保证安全性。

CA(证书颁发机构)主要负责证书的颁发、管理、归档和撤销。

我们可以把这个证书当作我们需要驾驶的驾驶执照。

证书包含诸如证书所有者的姓名、地址、电子邮件帐号、公钥、证书有效性、颁发证书的证书颁发机构的数字签名、证书等信息。

该证书有三个主要功能:加密、签名、认证。

这不是对加密相关知识的具体阐述，而是主要讨论如何实现CA的环境。

CA的体系结构是一种分层部署模式。

它分为“根认证中心”和“下属认证中心”。

“根证书颁发机构”位于该体系结构的顶部。

通常，它用于向其他CAs(下属CAs)颁发证书。

在windows系统中，我们可以建立4种CA企业根CA和企业下属CA(这两种CA只能在域环境中使用)；独立根认证中心和独立从属认证中心。

通过控制面板-添加和删除程序-添加和删除窗口组件-证书服务安装证书颁发机构。

在安装过程中，选择安装的证书颁发机构的类型。

在这里，我们选择一个单独的根证书颁发机构，输入证书颁发机构的名称，并设置到期日期以完成向导。

(请注意，在安装证书服务之前应该安装IIS)安装证书应用程
序CA服务之后，您可以直接申请证书。

申请证书有两种方式:通过MMC控制台(此方法仅适用于企业根证书颁发机构和企业下属证书颁发机构)和通过网络浏览器。

在这里，我们只能选择网络浏览器的方式，找到一台客户计算机，并在ie浏览器中输入[网址]http//ca[/网址]服务器的IP地址或计算机名/certsrv。

然后选择申请新的证书，选择证书类型，并输入正确的信息以获得证书。

使用该证书，我们可以设置最简单的POP3服务器来实现邮件服务。

现在假设莉莉想给露西发一封加密并签名的邮件。

在莉莉的outlook中，选择工具-帐户-电子邮件，选择莉莉的帐户，单击属性-安全性，然后选择证书。

露西也一样。

2.certificate server插图过程测试拓扑测试内容和拓扑描述测试内容独立根ca服务器和独立从属CA服务器构造和客户端证书应用测试拓扑描述图server1作为独立根CA服务器，server2作为独立从属CA服务器，其他三个客户端分别是客户端
1、client2和client3.实验配置过程的第一步是构建一个独立的根CA服务器。

我需要安装IIS(虚拟目录将在证书服务的安装过程中写入IIS的默认网站。

如果没有IIS，我不能通过网络浏览器申请证书)，然后安装证书服务。

配置过程如下:证书服务的安装过程完成
后，客户端可以申请证书。

由于它是一个独立的根证书颁发机构，我们不是一个域环境，我们只能通过网络浏览器申请证书:http//CA服务器ip地址或计算机名/certsrv。

然后，CA服务器的管理员手动颁发证书，打开证书服务服务器1，并选择管理工具-证书颁发机构。

可以通过互联网选项“内容”或MMC证书管理单元查看颁发的证书。