CA服务器配置原理与图解过程

Ca配置全过程生成证书申请CRS文件A，在W AS（采集服务器）安装机上，找到ikeyman工具（c:\IBM\WebSphere\AppServer\bin）B，运行ikeyman，在菜单中选择“创建数据库文件”，格式选择“jks”，密码“xxx”，路经为“c:\key”，文件名“xxx.jks”C，创建证书请求：密钥标号“YN”，密钥大小“1024”，公共名称: “YN”，组织: “YN”，组织单位: “YN”，市、县、区：“KUNMING”，省、直辖市: “YUNNAN”邮政编码:“650031”，国家:“CN”，文件名“xxx.arm”1，发送请求文件到RA中心签名A，发送“xxx.arm”到RA中心（制证处）B，从电子政务接受签名证书，xxx.cer，根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer 导入签名证书A，在W AS（采集服务器）安装机上，运行ikeyman，打开key数据库“xxx.jks”B，选择“个人证书”，选择“接收”，选择“xxx.cer”C，导入签名证书配置WAS的sslA,登陆W AS（采集服务器）的控制台，https://127.0.0.1:9043/ibm/console,用户名sa, 密码xxx B,选择“安全性”，选择“ssl”,选择“新建”，配置ssl在导航树中,选择安全==>SSL单击新建一个SSL配置指定一个别名，例如W ASServerSSL指定连接为SSL指定密钥文件，密码；信任文件，密码点击运用，屏幕上端选择保存C,使用ikeyman，创建一个数据库文件“xxx_trust.jks”,导入“xxx.cer”，供ssl信任数据库使用D,服务器中，选择“application”,选择“server1”,选择“传输数据链路”，选择“443”端口，把SSL的配置信息修改为上面的SSL配置在导航树中,选择服务器＝＝＞运用服务器服务器列表中选择：server1在属性下选择：web容器，选择HTTP传输链路选择运用的https server（４４３），选择ssl配置，更改ssl的配置为WASServerSSL,点击运用，屏幕上端选择保存E,重起W AS，验证SSL已生效配置JAVA运用证书，（JAVA程序需要使用HTTPS，所以需要配置证书）A，copy 证书“xxx.cer”到c:\IBM\WebSphere\AppServer\java\jre\bin下B，导入证书在c:\IBM\WebSphere\AppServer\java\jre\bin执行：keytool -import -v -trustcacerts -storepass changeit -keypass changeit -alias xxx_certs -file xxx.cer -keystore c:\IBM\WebSphere\AppServer\java\jre\lib\security\cacerts如果证书名“xxx_certs”存在删除之Keytool –delete –storepass changeit -keypass changeit -alias xxx_certsC，增加证书IP DNS编辑C:\WINDOWS\system32\drivers\etc\HOSTS文件增加一行纪录: 172.16.20.199 YN (名称为证书的CN)配置tomcat的sslA，在tomcat目录下，conf目录下，编辑server.xml文件B，打开8443配置，例如<Connectorport="8443" minProcessors="5" maxProcessors="75"enableLookups="false"acceptCount="100" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="c:\ xxx.jks " keystorePass=" xxx">C,重起tomcat，测试8443端口keystoreFile="c:\ yngzw.jks " keystorePass=" yunnanguoziwei ">IE客户端配置导入根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer，依次双击证书文件，按提示，选择“下一步”。

windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：加装步骤一、安装证书服装器用一个证书的服务器去颁授证书，然后再采用这个证书。

ca的公用名称：windows2021a二、要在配置的网站上申请证书(草稿）找出我们布局的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，回去提出申请一个证书。

“新建一个证书”，在国家时“必须挑选cn中国“，下面省市：江苏省，邳州市，最后必须分解成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式宣布向证书机构回去提出申请一个证书（正式宣布提出申请）local本地host是主机：localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。

1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件：certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁授证书到“证书颁发机构”-选择\挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

2、查阅挂上的证书提出申请的状态，如果存有一个，就浏览这个证书：用base64这个类型的证书，把这个证书留存起至c：\\certnew.cer这样一个崭新证书。

六、使用这个证书来完成ca服务器的配置。

右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到c：\\certnew.cer这样一个证书用上就可以了。

七、采用ssl(安全地下通道）功能去出访网页方法是：右击“myweb\这个网站，选择“属性”“目录安全性”在“安全通信中的编辑”中，选择“要求安全通道”和”要求客户端的证书“。

ca证书服务器工作原理
CA（Certificate Authority）证书服务器是一种用于管理和颁发
数字证书的服务器，其工作原理如下：
1. 申请证书：用户向CA证书服务器提交数字证书申请请求。

申请包括用户的公钥、个人身份信息等。

2. 身份验证：CA证书服务器对用户的身份进行验证，以确保
用户的合法性和真实性。

常见的验证方式包括邮件验证、电话验证和面对面验证等。

3. 证书生成：经过身份验证的用户，CA证书服务器会生成一
份数字证书，其中包括用户的公钥、个人身份信息和证书的有效期等。

4. 私钥签名：CA证书服务器使用自己的私钥对生成的数字证
书进行签名，以保证证书的完整性和真实性。

5. 证书发布：CA证书服务器将签名后的数字证书发送给用户，以便用户在使用数字证书时进行验证。

6. 证书更新：数字证书有一定的有效期，过期后需要进行更新。

用户可以向CA证书服务器申请证书更新，CA证书服务器会
重新签发新的数字证书。

7. 证书验证：在使用数字证书进行身份验证时，验证方需要获取证书的公钥，并使用CA证书服务器的公钥对数字证书进行
验证，以确保证书的真实性和完整性。

总结起来，CA证书服务器的工作原理主要包括申请证书、身份验证、证书生成、私钥签名、证书发布、证书更新和证书验证等步骤。

通过CA证书服务器，用户可以获取到具有可信任性的数字证书，以确保在网络通信和数据传输中的安全性和可信度。

windows环境下独立根ca的安装和使用实验原理在Windows环境下安装和使用独立根CA的实验原理如下：1. 安装独立根CA：- 首先，在Windows服务器上运行“Server Manager”并选择“添加角色和功能”。

- 在安装类型中选择“基于角色或基于功能的安装”。

- 选择要安装根CA的服务器并选择“下一步”。

- 在“功能”窗口中，选择“证书服务”并点击“下一步”。

- 在“证书服务”窗口中，选择“认证机构的Web注册界面”和“证书框架”。

- 完成安装过程，等待安装完成。

2. 配置独立根CA：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“配置CA”。

- 在“设置CA角色”窗口中选择“独立根CA”并点击“下一步”。

- 配置CA名称和保存路径，并点击“下一步”。

- 设置CA的公共密钥长度并点击“下一步”。

- 选择“创建根凭据并指定名称”并输入凭据名称。

- 配置完成后，点击“下一步”并等待配置完成。

3. 使用独立根CA颁发证书：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“请求新证书”。

- 在“证书颁发机构策略”窗口中选择“Web服务器”和“合规性”选项。

- 输入要安装的证书请求文件的位置并点击“下一步”。

- 在“证书颁发机构证书安装向导”中，点击“下一步”直到完成安装。

- 颁发证书后，可以在“Server Manager”中查看已颁发的证书。

原理：通过安装和配置独立根CA，可以在Windows环境中建立一个独立的证书颁发机构。

独立根CA可以用于颁发和管理数字证书，以进行身份验证和加密通信。

安装和配置后，可以通过Web界面或其他管理工具颁发证书并在系统中使用。

这样，用户就可以在Windows环境中建立一个自己的独立证书颁发机构，以满足特定安全需求。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

CA工作原理
数字安全证书利用一对互相匹配的密钥进行加密、解密。

每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥）, 用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开, 为一组用户所共享, 用于加密和验证签名。

当发送一份保密文件时, 发送方使用接收方的公钥对数据加密, 而接收方则使用自己的私钥解密, 这样信息就可以安全无误地到达目的地了。

通过数字的手段保证加密过程是一个不可逆过程, 即只有用私有密钥才能解密。

在公开密钥密码体制中, 常用的一种是RSA体制。

其数学原理是将一个大数分解成两个质数的乘积, 加密和解密用的是两个不同的密钥。

即使已知明文、密文和加密密钥（公开密钥）, 想要推导出解密密钥（私密密钥）, 在计算上是不可能的。

按现在的计算机技术水平, 要破解目前采用的1024位RSA密钥, 需要上千年的计算时间。

公开密钥技术解决了密钥发布的管理问题, 商户可以公开其公开密钥, 而保留其私有密钥。

购物者可以用人人皆知的公开密钥对发送的信息进行加密, 安全地传送以商户, 然后由商户用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理, 由于密钥仅为本人所有, 这样就产生了别人无法生成的文件, 也就形成了数字签名。

采用数字签名, 能够确认以下两点:
(1) 保证信息是由签名者自己签名发送的, 签名者不能否认或难以否认；
(2) 保证信息自签发后到收到为止未曾作过任何修改, 签发的文件是真实文件。

CA（证书颁发机构）配置概述图解过程一．CA（证书颁发机构）配置概述由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。

CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。

证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。

证书主要有三大功能：加密、签名、身份验证。

这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。

CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。

在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA 和独立从属CA。

安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。

（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。

在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]http://ca[/url]服务器的IP地址或者计算机名/certsrv即可。

然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。

使用证书：我们可以自己架设一个最简单的POP3服务器，来实现邮件服务。

现在假设lily要向lucy发送一封加密和签名电子邮件，在lily这边的outlook中选择工具--帐户--邮件，选择lily的帐户，再单击属性--安全，选择证书就可以了。

Windows server 2003 CA配置(一)CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。

首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。

C A在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。

CRL：是被CA吊销的证书的列表。

基于WINDOWS的CA支持4种类型企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。

企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。

企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属C A需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA独立根CA：独立根CA是证书层次结构中的最高级CA。

独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。

独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA证书，独立从属C A可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。

下面来部署CA一台是独立根CA,一台是独立从属CA安装独立根CA选中应用程序服务器和证书服务.由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务. 点详细看一看点确定这里选独立根CA并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位. 如果不选"允许此CSP与桌面交互"系统服务就无法与当前用户的桌面进行交互.输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用.下面便开始安装了.安装到一定的时候会出现下面对话框默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.下面来安装独立从属CA同样选择应用程序服务器和证书服务这里选择独立从属CA并勾上.可以看到这里密钥长度默认是1024位输入公用名称有效期限取决于父CA这里默认建立一个共享文件夹如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.下面便开始安装了安装时会出现上面对话框,确定便是了.选是点完成下面来验证安装可以看到根CA有上面这些文件便安装成功也可以看服务有图中的服务便安装成功下面来看申请和颁发证书现在来登录从属CA,打开"开始"-所有程序-INTERNET EXPLORER.打开IE在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书这里选高级证书申请选下面那条点浏览要插入的文件这个是在建立从属CA时所创建的然后点读取最后点提交这样便提交了一个证书申请然后在根CA上颁发证书可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.点证书右键,点颁发这样便在颁发证书下面又击证书便可以看到下面这里可以看到证书的一些信息下面来看获取并安装证书这里在从属CA上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存单击下载证书链,证书链中包含了当前证书和当前证书上级所有的CA证书,包括根CA. 然后单击开始---管理工具---证书颁发机构.安装CA证书.然后启动服务.下一步下一步这里已先安装好了安装成功之后,从属CA部署完成.Windows server 2003 CA配置(二)配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用N ET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份.下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL 点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CR L分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于C RL分发点URL包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI 可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限这里可以限制证书管理员指定策略。

核心网要求核心网SIM卡放号需满足CA测试要求，两载波CA需要保证下行AMBR大于300Mbit/s，上行AMBR大于100Mbit/s；并且取消SIM卡的总流量限制，因为CA测试流量很大，若对测试卡进行流量限制，则很容易出现欠费停机的情况终端要求由于CA功能属于LTE-A内容，因此终端需要支持3GPP Rel-10协议的CA功能。

CA配置方法目前根据站点的主辅小区在RRU上的配置情况，CA可分为两种常见的组网场景：-主辅小区配置在不同RRU上，进行频段内CA或频段间CA，如图0-1所示；-主辅小区配置在同一RRU上，进行频段内非连续CA或频段内连续CA，如图0-2所示。

图0-1 主辅小区配置在不同RRU上图0-2 主辅小区配置在同一RRU上下面将分别说明这两种场景下的CA配置方法。

主辅小区配置在不同RRU上根据站点的主辅小区所在基带处理板的情况，可进一步分为两种下行CA配置场景：-板内下行CA：进行CA的两个小区建立在站内同一块基带处理板上。

-跨板/板间下行CA：进行CA的两个小区分别建立在站内不同的基带处理板上。

假设基站已配置了两个小区：Cell 0和Cell 1，频段分别为Band 3和Band 7，下行频点分别为1815Mhz和2630Mhz，带宽均为20M，且这两个小区配置在不同的RRU上；现要对这两个小区进行下行载波聚合。

下面将以此为例来说明两小区下行CA的配置方法。

配置CA小区的频点与带宽根据网络规划，参考《FDD LTE V3.20 eNodeB初始配置指导书》正确配置要进行下行CA的两个小区的频点与带宽（如图0-3所示），并确保在进行CA开通前这两个小区的业务测试正常。

图0-3 配置CA小区的频点与带宽配置两小区的邻接关系目的配置要进行CA的两个小区的邻接关系。

过程1. 点击[无线参数→LTE FDD→邻接关系配置→E-UTRAN邻接关系]，双击打开[E-UTRAN邻接关系-列表]配置界面，如图0-4所示。

CSMA/CA编辑无线局域网标准802.11的MAC和802.3协议的MAC非常相似，都是在一个共享媒体之上支持多个用户共享资源，由发送者在发送数据前先进行网络的可用性检测。

在802.3协议中，是由一种称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection)的协议来完成调节，这个协议解决了在Ethernet上的各个工作站如何在线缆上进行传输的问题，利用它检测和避免当两个或两个以上的网络设备需要进行数据传送时网络上的冲突。

在802.11无线局域网协议中，冲突的检测存在一定的问题，这个问题称为"Near/Far"现象，这是由于要检测冲突，设备必须能够一边接受数据信号一边传送数据信号，而这在无线系统中是无法办到的。

中文名载波侦听多路访问／冲突避免外文名Carrier Sense Multiple Access with Collision Avoidance分类CSMA/CD /CA /BA /CPCSMA/CD载波侦听多路访问/冲突检测CSMA/CA载波侦听多路访问/冲突避免CSMA/BA载波侦听多路访问/位仲裁CSMA/CP载波侦听多路访问/载波优先目录.1概述.2工作原理.3工作原理.4工作流程.5主要差别概述编辑鉴于这个差异，在802.11中对CSMA/CD进行了一些调整，采用了新的协议CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance)或者DCF(Distributed Coordination Function)。

CSMA/CA利用ACK信号来避免冲突的发生，也就是说，只有当客户端收到网络上返回的ACK信号后才确认送出的数据已经正确到达目的地址。

工作原理编辑这种协议实际上就是在发送数据帧之前先对信道进行预约。

下面为了方便解释这种技术的主要原理请大家先看下图。

CA服务器的创建和CA客户端认证过程实验内容：创建一台CA服务器，和一台IIS服务器，通过IIS服务器搭建网站，连接DNS服务器获取CA安全服务，验证CA客户端安全认证过程；实验思路：准备实验所需的两台虚拟机A、B，在虚拟机A中安装CA服务，同时也要安装IIS服务，用来支持CA服务，在虚拟机B中安装IIS服务和DNS服务，用作CA客户端，然后在虚拟机B中搭建网站，对CA服务器请求CA服务，验证实验全过程；实验步骤：1.准备实验所需的两台虚拟机“CA 192.168.4.186”、“DNS+IIS 192.168.4.187”；2.在虚拟机“CA”中安装CA服务，注意同时也要安装IIS服务，因为CA的注册页面必须由IIS支持，注意IIS可以先安装，或同时安装，但不能在CA后安装；注意在选择CA服务的时候，会出现如下页面，这里我们应选“是”后继续安装3.由上步选择“是”后，安装继续；4.在上一步中点击“下一步”后，进入选择CA类型，这里我们选择“独立根”；5.设置CA的识别信息；6.证书数据库设置；7.启用ASP，注意这里一定要选择“是”，启用ASP功能，否则会导致实验失败；8.安装完成；9.在控制台中添加CA管理；注意我们要添加的是“证书颁发机构”，不要和“证书”、“证书模块”弄混淆；10.选择管理CA的计算机，这里我们就选择“本地计算机”进行操作；11.添加成功；12.启动虚拟机“DNS+IIS”；13.在虚拟机“DNS+IIS”中安装DNS和IIS服务；15.运行控制台添加DNS和IIS管理单元；17.搭建DNS控制台；18.搭建IIS网站；新建网站文件搭建IIS网站搭建成功19.进入“web”属性，安装web安全通信服务证书；进入web安装向导由于是第一次安装，所以我们选择“新建证书”证书名称和安全性设置申请证书单位名设置站点公用名设置,这里一般是所操作的计算机名申请证书客户的地理信息证书保存的位置和文件名安装完成20.访问CA服务器证书申请站点，申请CA安全服务；在上一步中，也是“申请一个证书”，而这里由于我们在证书向导中以有一个证书，所以这里提交一个高级证书申请选择第二项，进入页面后输入证书向导中所保存的文件申请提交成功21.进入DNS服务器，查看控制台中的“证书颁发机构”中“挂起的申请”，会发现由IIS 服务器提交的申请文件；22.对申请给予任务“颁发”；23.查看IIS服务器，由网页进入证书服务，选取“查看挂起的证书申请状态”查看证书；24.查看保存的申请证书；25.点击“下载证书”，用作后面安装；26.证书的保存位置；27.进入IIS网站属性，安装证书；这里会由原先的“新建”变为“处理挂起的请求并安装证书”；安装原先下载的证书完成安装28.最后还要将属性中的“编辑”中勾取“要求安全通信”；29.通过网页访问验证实验；通过HTTP访问，失败将HTTP改为HTTPS，再次访问，成功进入30.实验完成。

高手进阶！CA认证服务器前言超文本传输协议（HTTP，Hypertext Transfer Protocol）。

常用于互联网中发布和接收html页面的一种网络协议。

由于HTTP传输数据时采用明文传输，有数据泄露的风险。

在移动支付、在线聊天等产业迅猛发展的今天，基于安全套接层的超文本传输协议（HTTPS，Hypertext Transfer Protocol over Secure Socket Layer）被广泛的应用。

HTTP协议附加SSL加密层以达到保护数据安全传输的目的，无论是互联网中还是企业内部常常为了安全都会采用HTTPS的方式来完成WEB服务器的部署。

本文将为读者带来如何在RHEL7.0操作系统中使用OpenSSL工具完成CA服务器的部署，以及CA证书的下发。

一、CA服务器的搭建默认情况下RHEL7.0操作系统中已经安装了OpenSSL的相关软件，只需简单的按照配置文件调整系统中的部分文件即可完成CA服务器的部署。

Openssl的配置文件存放位置为：/etc/pki/tls/f主要默认配置如下：其中部分代码含义：dir= /etc/pki/CA# 定义路径变量certs= $dir/certs# 已颁发证书的保存目录database= $dir/index.txt# 数据库索引文件new_certs_dir = $dir/newcerts# 新签署的证书保存目录certificate= $dir/cacert.pem# CA证书路径名serial= $dir/serial# 当前证书序列号private_key= $dir/private/cakey.pem# CA的私钥路径名根据配置需求，我们首先需要生成CA的私钥：cakey.pem这里我们采用非对称加密算法RSA生成一个1024位的密钥，存放于/etc/pki/private/cakey.pem生成CA服务器的自签名证书这里生成一个有效期为一年的自签名证书。

企业中CA服务器的架设和应用目录1CA的基础知识 (1)1.1 什么是CA (1)1.2 CA的分类 (2)1.3 CA服务器在企业内的应用 (2)2CA服务器的架设 (3)3CA服务器在企业里的具体应用 (10)3.1 基于CA证书的web服务器高安全性架构 (10)3.1.1 实验拓扑图 (10)3.1.2 Web服务器（IIS）安装和配置 (10)3.1.2.1 Web服务器的安装 (10)3.1.2.2 Web服务器从CA申请“web服务器证书” (11)3.1.2.3 客户端通过基于SSL协议访问https站点 (19)1CA的基础知识1.1什么是CACA（Certification Authority）即认证中心。

它负责为用户颁发证书，且具有权威性；证书中核心技术是非对称式加密技术。

用户在申请证书时，需要输入姓名、地址与电子邮件地址等数据，这些数据会被发送到一个称为CSP（密码学服务提供者）的程序，此程序默认已经被安装到申请者的计算机内。

CSP会自动创建一对密钥：一个公钥和一个私钥，CSP会将私钥存储到申请者计算机的注册表中，然后将证书申请数据与公钥一起发送到CA。

CA检查这些数据无误后，会利用自己的私钥将要发放的证书加以签名，然后发放证书。

申请者收到证书后，将证书安装到自己的计算机里。

目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准，符合该标准的证书主要包含以下内容：1.2CA的分类若通过Windows Server 2008 R2的Active Directory 证书服务（AC CS）来提供CA服务的话，则你可以选择将CA设置为以下角色之一：1：企业根CA（enterprise root CA）企业根CA需要Active Directory域，你可以将企业根CA安装到域控制站或成员服务器。

企业根CA发放证书的对象仅限域用户，当域用户来申请证书时，企业根CA可以从Active Directory来得知该用户的相关信息，并据以确定该用户是否用权利来申请所需证书。