CA证书服务器配置过程

Ca配置全过程简介

Ca配置全过程生成证书申请CRS文件A，在W AS（采集服务器）安装机上，找到ikeyman工具（c:\IBM\WebSphere\AppServer\bin）B，运行ikeyman，在菜单中选择“创建数据库文件”，格式选择“jks”，密码“xxx”，路经为“c:\key”，文件名“xxx.jks”C，创建证书请求：密钥标号“YN”，密钥大小“1024”，公共名称: “YN”，组织: “YN”，组织单位: “YN”，市、县、区：“KUNMING”，省、直辖市: “YUNNAN”邮政编码:“650031”，国家:“CN”，文件名“xxx.arm”1，发送请求文件到RA中心签名A，发送“xxx.arm”到RA中心（制证处）B，从电子政务接受签名证书，xxx.cer，根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer 导入签名证书A，在W AS（采集服务器）安装机上，运行ikeyman，打开key数据库“xxx.jks”B，选择“个人证书”，选择“接收”，选择“xxx.cer”C，导入签名证书配置WAS的sslA,登陆W AS（采集服务器）的控制台，https://127.0.0.1:9043/ibm/console,用户名sa, 密码xxx B,选择“安全性”，选择“ssl”,选择“新建”，配置ssl在导航树中,选择安全==>SSL单击新建一个SSL配置指定一个别名，例如W ASServerSSL指定连接为SSL指定密钥文件，密码；信任文件，密码点击运用，屏幕上端选择保存C,使用ikeyman，创建一个数据库文件“xxx_trust.jks”,导入“xxx.cer”，供ssl信任数据库使用D,服务器中，选择“application”,选择“server1”,选择“传输数据链路”，选择“443”端口，把SSL的配置信息修改为上面的SSL配置在导航树中,选择服务器＝＝＞运用服务器服务器列表中选择：server1在属性下选择：web容器，选择HTTP传输链路选择运用的https server（４４３），选择ssl配置，更改ssl的配置为WASServerSSL,点击运用，屏幕上端选择保存E,重起W AS，验证SSL已生效配置JAVA运用证书，（JAVA程序需要使用HTTPS，所以需要配置证书）A，copy 证书“xxx.cer”到c:\IBM\WebSphere\AppServer\java\jre\bin下B，导入证书在c:\IBM\WebSphere\AppServer\java\jre\bin执行：keytool -import -v -trustcacerts -storepass changeit -keypass changeit -alias xxx_certs -file xxx.cer -keystore c:\IBM\WebSphere\AppServer\java\jre\lib\security\cacerts如果证书名“xxx_certs”存在删除之Keytool –delete –storepass changeit -keypass changeit -alias xxx_certsC，增加证书IP DNS编辑C:\WINDOWS\system32\drivers\etc\HOSTS文件增加一行纪录: 172.16.20.199 YN (名称为证书的CN)配置tomcat的sslA，在tomcat目录下，conf目录下，编辑server.xml文件B，打开8443配置，例如<Connectorport="8443" minProcessors="5" maxProcessors="75"enableLookups="false"acceptCount="100" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="c:\ xxx.jks " keystorePass=" xxx">C,重起tomcat，测试8443端口keystoreFile="c:\ yngzw.jks " keystorePass=" yunnanguoziwei ">IE客户端配置导入根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer，依次双击证书文件，按提示，选择“下一步”。

CA服务器的安装与配置

CA服务器的安装与配置
新建一个网站，并设好IP。

然后再右击属性，申请证书。

然后停用这个网站，用默认网站去申请证书等等。

如图
然后单击高级证书申请。

进入页面之后
再进入所选目标，之后将保存在默认c 盘中的代码复制如图
显示如图
然后进入证书机构颁发证书
然后颁发证书。

然后返回到先前的网站上点击主业查看证书挂起状态。

显示如图
下载证书到桌面
再进入新建的网站右击属性
证书安装成功
然后进入到网站进入主页再申请一个证书这次选中web证书申请
进入之后可随便填但是国家最好填ch 提交之后设置安全级别为高
密码自己设置一个别搞忘了不然后果自负。

完成之后再进入证书颁发机构再颁发证书，方法如上。

颁发完后再查看证书挂起状态再安装证书
之后停用默认网站启用新建网站
最后一点必须更改就是右击新建的网站进入编辑
更改如图。

ca证书配置方法

ca证书配置方法在计算机网络中，CA证书用于加强通信的安全性和保护数据的机密性。

CA证书实际上是指电子证书，其可以将非对称加密技术（如RSA加密算法）结合起来，确保通信的参与者是真实有效的。

那么在使用CA证书时，如何进行配置呢？下面将为您一一解析。

第一步：安装CA证书在安装CA证书之前，您需要确定您计算机上所有需要安装证书的用户帐户，这些帐户的存储位置是有区别的。

如果您使用的是“只要当前用户能够访问自己的证书存储位置”，那么所有的用户帐户都会共享同一个证书。

如果选择“将证书存储在本地计算机”，则所有用户将会共享存储位置。

第二步：导入CA证书在导入CA证书之前，您需要将颁发CA证书的机构的证书导入您的计算机，这样才能够确认您的CA证书。

不同的操作系统对导入证书的方式有所不同，在Windows操作系统中，您需要通过控制面板中的Internet选项来进行证书导入。

在Linux等操作系统中，可以使用OpenSSL等工具来导入证书。

第三步：配置证书在您计算机上安装了CA证书之后，您需要对配置文件进行调整，才能够和您的操作系统进行配合。

需要特别注意以下几个配置项：1. 参数ssl_ca指定了CA证书的位置，可以是文件名或文件夹名2. 参数ssl_cert指定了网站证书的位置3. 参数ssl_key指定了私钥的位置4. 指定加密算法，如RSA或AES第四步：应用证书在将证书应用于您的网站程序时，您需要确保整个过程是安全的。

一般通过私钥和公钥的匹配来实现加解密的操作。

您的网站程序将第一次向客户端发送证书时，需要将私钥保密，确保不会被公开泄漏，从而保证整个通讯过程的安全性。

以上就是关于CA证书配置的一些基础知识和操作过程。

在配置证书的过程中，需要注意对网络安全的保护工作。

无论是在导入证书和安装证书的过程中，都应当保证安全措施有效地防范潜在风险，在保证通讯安全性和保护数据的机密性的同时，也可以增加用户信任度。

WindowsCA_证书服务器配置

WindowsCA_证书服务器配置Windows CA 证书服务器配置一、介绍Windows CA 证书服务器是用于创建和管理数字证书的工具。

本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。

二、系统要求在开始配置 Windows CA 证书服务器之前，请确保系统满足以下要求：1、Windows Server 操作系统。

2、硬件资源满足最低配置要求。

3、网络连接稳定。

三、安装 Windows CA 证书服务1、打开“服务器管理器”。

2、在“角色和功能”窗口中，选择“添加角色和功能”。

3、在向导中，选择“角色基于功能或角色的安装”，并“下一步”。

4、选择要安装 Windows CA 证书服务的服务器，“下一步”。

5、在“选择服务器角色”窗口中，选中“Active Directory 统一访问角色”，“下一步”。

6、在“选择角色服务”窗口中，选中“证书授权服务”，“下一步”。

7、在“确认安装选择”窗口中，“安装”。

8、安装完成后，“关闭”。

四、配置 Windows CA 证书服务器1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“证书授权站点”。

3、在右侧窗口中，“配置证书授权站点”。

4、在向导中，选择“企业证书授权站点”，“下一步”。

5、选择要使用的证书数据库类型，“下一步”。

6、配置站点设置，包括站点名称、默认访问 URL 等，“下一步”。

7、配置证书颁发策略，设置证书的颁发方式和条件，“下一步”。

8、配置证书申请策略，设置证书的申请方式和条件，“下一步”。

9、完成配置后，“完成”。

五、证书管理1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“已颁发的证书”。

3、在右侧窗口中，可以查看和管理已颁发的证书。

六、证书分发1、打开“证书授权控制台”。

2、在左侧导航栏中，选择“颁发策略”。

3、在右侧窗口中，可配置证书颁发的策略。

4、在客户端申请证书时，其请求将被验证，并根据颁发策略进行处理。

CA服务器的创建和CA客户端认证过程

CA服务器的创建和CA客户端认证过程实验内容：创建一台CA服务器，和一台IIS服务器，通过IIS服务器搭建网站，连接DNS服务器获取CA安全服务，验证CA客户端安全认证过程；实验思路：准备实验所需的两台虚拟机A、B，在虚拟机A中安装CA服务，同时也要安装IIS服务，用来支持CA服务，在虚拟机B中安装IIS服务和DNS服务，用作CA客户端，然后在虚拟机B中搭建网站，对CA服务器请求CA服务，验证实验全过程；实验步骤：1.准备实验所需的两台虚拟机“CA 192.168.4.186”、“DNS+IIS 192.168.4.187”；2.在虚拟机“CA”中安装CA服务，注意同时也要安装IIS服务，因为CA的注册页面必须由IIS支持，注意IIS可以先安装，或同时安装，但不能在CA后安装；注意在选择CA服务的时候，会出现如下页面，这里我们应选“是”后继续安装3.由上步选择“是”后，安装继续；4.在上一步中点击“下一步”后，进入选择CA类型，这里我们选择“独立根”；5.设置CA的识别信息；6.证书数据库设置；7.启用ASP，注意这里一定要选择“是”，启用ASP功能，否则会导致实验失败；8.安装完成；9.在控制台中添加CA管理；注意我们要添加的是“证书颁发机构”，不要和“证书”、“证书模块”弄混淆；10.选择管理CA的计算机，这里我们就选择“本地计算机”进行操作；11.添加成功；12.启动虚拟机“DNS+IIS”；13.在虚拟机“DNS+IIS”中安装DNS和IIS服务；15.运行控制台添加DNS和IIS管理单元；17.搭建DNS控制台；18.搭建IIS网站；新建网站文件搭建IIS网站搭建成功19.进入“web”属性，安装web安全通信服务证书；进入web安装向导由于是第一次安装，所以我们选择“新建证书”证书名称和安全性设置申请证书单位名设置站点公用名设置,这里一般是所操作的计算机名申请证书客户的地理信息证书保存的位置和文件名安装完成20.访问CA服务器证书申请站点，申请CA安全服务；在上一步中，也是“申请一个证书”，而这里由于我们在证书向导中以有一个证书，所以这里提交一个高级证书申请选择第二项，进入页面后输入证书向导中所保存的文件申请提交成功21.进入DNS服务器，查看控制台中的“证书颁发机构”中“挂起的申请”，会发现由IIS 服务器提交的申请文件；22.对申请给予任务“颁发”；23.查看IIS服务器，由网页进入证书服务，选取“查看挂起的证书申请状态”查看证书；24.查看保存的申请证书；25.点击“下载证书”，用作后面安装；26.证书的保存位置；27.进入IIS网站属性，安装证书；这里会由原先的“新建”变为“处理挂起的请求并安装证书”；安装原先下载的证书完成安装28.最后还要将属性中的“编辑”中勾取“要求安全通信”；29.通过网页访问验证实验；通过HTTP访问，失败将HTTP改为HTTPS，再次访问，成功进入30.实验完成。

CA证书配置方法

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

CA服务器配置全程指导

CA服务器
实验拓扑
安装过程
1.在“开始” “控制面板”中选择“添加或删除程序”选项。

2.在“添加或删除程序”窗口中，单击“添加/删除Windows组件”选项。

注册支持后，点击确定
4.点击下一步->选择独立根->下一步
5.输入CA公司名称->下一步
6.选择各文件路径->下一步->完成
7.选择“开始”->程序->管理工具->证书颁发机构
8.使用WEB申请证书
9.使用服务器颁发证书
10.客户端查看并安装证书
11.在Internet选项中查看证书
12.CA服务器吊销证书
吊销后
使用mmc控制台查看证书
1.打开开始菜单->运行->输入mmc->确定
2.在控制台选择->文件->添加/删除管理单元
3.选择添加->证书
4.右击证书->属性。

WindowsCA_证书服务器配置

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

windows2003中CA服务器配置方法与步骤

Windows2003中CA服务器的安装与配置CA是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：安装步骤一、安装证书服装器用一个证书的服务器来颁发证书，然后再使用这个证书。

CA的公用名称：windows2003A二、要在配置的网站上申请证书(草稿）找到我们配置的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，去申请一个证书。

“新建一个证书”，在国家时“必须选CN中国“，下面省市：江苏省，邳州市，最后要生成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式向证书机构去申请一个证书（正式申请）在网页地址栏中输入：http://localhost/certsrv这样一个地址local本地host是主机：localhost本地主机/certsrv这个cert这证书server srv服务器certsrv:证书服务器。

1、申请一个证书2高级证书申请3、选择一个bAse64这个证书4、把刚才生成的申请书文件：certrreg.txt文件中的内容全部复制到网页中保存的申请框中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁发证书到“证书颁发机构”-选择"挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

五、要把这个已经颁发过的证书下载下来。

方法就是：1、http://localhost/certsrv2、查看挂起的证书申请的状态，如果有一个，就下载这个证书：用BASE64这个类型的证书，把这个证书保存起C：\certnew.cer这样一个新证书。

六、使用这个证书来完成CA服务器的配置。

右击“这个网站的名字myweb",选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到C：\certnew.cer这样一个证书用上就可以了。

CA(证书颁发机构)服务器配置图解过程

试验拓扑：
试验内容以及拓扑说明：
试验内容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.
试验配置过程：
第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：
安装完成后，如图：
证书服务的安装过程：
安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：
再由CA服务器的管理员手工颁发证书，打开证书服务器server1，选择管理工具---证书颁发机构，颁发证书：
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看
安装独立从属CA，它必须先从独立根CA申请证书后才可以正常使用
证书请求文件已经生成，然后利用请求文件再向CA服务器发送证书请求，申请证书
选择“使用base64编码的那个选项”，然后把申请的请求文件（后缀为.req）使用记事本打开，并将内容全部复制到空白处，如下图：
本文出自“陈宣宋微软技术空间” 博客，请务必保留此出处。

CA证书服务器

【转】Win2003证书服务配置/客户端(服务端)证书申请一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

CA证书服务配置

(1)开启两台windows server 2003，windows server 2003（1）作为CA证书服务器，windows server 2003（2）作为客户端①Windows server 2003（1）的IP地址为192.168.1.1 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

②Windows server 2003（2）的IP地址为192.168.1.2 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

③测试两台PC的连通性(2)在windows server 2003(1)配置Web服务①安装web服务，开始----控制面板----添加与删除程序----添加/删除windows组件②在E盘下建立一个ok文件夹，在此文件夹下建立一个index.htm的网页文档，里面内容为“很高兴为您服务”③配置web服务，开始----管理工具----Internet信息服务（IIS）管理器④右键“默认网站”----属性----主目录，将网页文档的存放位置添加上去⑤在客户端的IE浏览器输入服务器的IP地址，即http://192.168.1.1，看是否正常浏览(3)在windows server 2003（1）配置CA证书服务①安装CA证书服务，开始----控制面板----添加与删除程序----添加/删除windows组件②开始----管理工具----Internet信息服务（IIS）管理器，在默认网站下看是否成功建立CertSrv 的站点，出现则安装成功。

③右键“默认网站”----属性----目录安全性④申请一个证书，在CA证书服务器上的IE浏览器上输入http://192.168.1.1/certsrv⑤将挂起的证书颁发，开始----管理工具----证书颁发机构⑥下载证书，在CA证书服务器的IE浏览器输入http://192.168.1.1/certsrv⑦在windows server 2003（1）安装证书，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑧启用安全通道SSL，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑼在windows server 2003（2）IE浏览器输入https://192.168.1.1。

Windows2000 PKI技术CA证书服务搭建

Windows PKI技术CA证书服务搭建
WEB服务器客户端
DNS服务器
CA证书服务器
1、证书服务器搭建
在“控制面板”——“添加删除程序”——“添加删除windows组件”——“证书服务”。

选择“独立根CA”。

CA标识信息中只要添加CA名称即可。

2、配置WEB服务器和DNS域名解析
3、配置客户端，DNS指向WEB服务器
4、申请WEB服务器证书
在证书服务器中，使用浏览器输入证书申请服务的网址IP/certsrv
将刚才生成的certreq.txt文件内容复制进去，点击“提交”。

颁发证书：点“开始”——“程序”——“管理工具”——“证书颁发机构”。

选择证书并“颁发”。

下载挂起证书
完成证书导入到WEB服务器中
将刚才下载的证书导入进去
查看证书
5、设置SSL访问，要求客户端身份验证
6、客户端申请WEB浏览证书
“颁发”证书
7、在服务器端，将客户端证书导出并导入至WEB服务器的证书——个人目录中
将ID为3的证书复制到文件
在客户端浏览器安装证书
在证书服务器双击，安装证书
8、客户端进行https://访问。

CA服务配置

Windows server 2003 CA配置(一)CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。

首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。

C A在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。

CRL：是被CA吊销的证书的列表。

基于WINDOWS的CA支持4种类型企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。

企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。

企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属C A需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA独立根CA：独立根CA是证书层次结构中的最高级CA。

独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。

独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA证书，独立从属C A可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。

下面来部署CA一台是独立根CA,一台是独立从属CA安装独立根CA选中应用程序服务器和证书服务.由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务. 点详细看一看点确定这里选独立根CA并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位. 如果不选"允许此CSP与桌面交互"系统服务就无法与当前用户的桌面进行交互.输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用.下面便开始安装了.安装到一定的时候会出现下面对话框默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.下面来安装独立从属CA同样选择应用程序服务器和证书服务这里选择独立从属CA并勾上.可以看到这里密钥长度默认是1024位输入公用名称有效期限取决于父CA这里默认建立一个共享文件夹如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.下面便开始安装了安装时会出现上面对话框,确定便是了.选是点完成下面来验证安装可以看到根CA有上面这些文件便安装成功也可以看服务有图中的服务便安装成功下面来看申请和颁发证书现在来登录从属CA,打开"开始"-所有程序-INTERNET EXPLORER.打开IE在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书这里选高级证书申请选下面那条点浏览要插入的文件这个是在建立从属CA时所创建的然后点读取最后点提交这样便提交了一个证书申请然后在根CA上颁发证书可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.点证书右键,点颁发这样便在颁发证书下面又击证书便可以看到下面这里可以看到证书的一些信息下面来看获取并安装证书这里在从属CA上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存单击下载证书链,证书链中包含了当前证书和当前证书上级所有的CA证书,包括根CA. 然后单击开始---管理工具---证书颁发机构.安装CA证书.然后启动服务.下一步下一步这里已先安装好了安装成功之后,从属CA部署完成.Windows server 2003 CA配置(二)配置和管理CA这里可以启动和停止服务.方法二可以在"服务"里面关掉相应的服务,方法三可以使用N ET START和NET STOP命令.点击备份下一步两个都打上勾,选择备份的位置下一步便可设置访问私钥和CA证书的密码,下一步便开始备份.下面看下吊销证书如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 点吊销证书可选择吊销的理由.有多种点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔.下面看下手工发布CRL和增量CRL点发布点新的CRL 点确定下面来看吊销列表常规选项可以看到一些基本的信息下面来看获得CA所发布的最新CRL这是在客户端,点击下一个CA证书,证书或CRL.如图,下载最新的基CRL可看到选中的就是刚才下载的.然后点右键进行安装便是了.下面来看指定证书的分发点CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CR L分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于C RL分发点URL包括HTTP,FTP,LDAP或文件地址.点ROOT-CA的属性.点添加.这里输入位置.由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI 可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的"被遗弃"证书.点续订CA证书点否这样便可以看到续订CA颁发的新的CA证书. 点查看证书下面来看ROOT-CA的各项属性选择审核的事情设置权限这里可以限制证书管理员指定策略。

WindowsCA_证书服务器配置

3
1.CA中心
CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。
22
SSL证书
数位签名又名数字标识、签章 (即 Digital Certificate， Digital ID )，提供了一种在网上进行身份验证的方法，是用来标志和证明网路通信双方身份的数字信息文件，概念类似日常生活中的司机驾照或身份证相似。数字签名主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上缴税以及网上购物等安全的网上电子交易活动。
15
CA中心的作用
CA为电子商务服务的证书中心，是PKI（Public Key Infrastructure）体系的核心。它为客户的公开密钥签发公钥证书、发放证书和管理证书，并提供一系列密钥生命周期内的管理服务。它将客户的公钥与客户的名称及其他属性关联起来，为客户之间电子身份进行认证。证书中心是一个具有权威性、可信赖性和公证性的第三方机构。它是电子商务存在和发展的基础。
10
CA的架构
密钥的管理政策是把公钥和实体绑定，由CA中心把实体的信息和实体的公钥制作成数字证书，证书的尾部必须有CA 中心的数字签名。由于CA中心的数字签名是不可伪造的，因此实体的数字证书不可伪造。CA中心对实体的物理身份资格审查通过后，才对申请者颁发数字证书，将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的CA中心，因此，实体可以信任由CA中心颁发数字证书的其他实体，放心地在网上进行作业和交易。

构建ca证书详解过程步骤

构建ca证书详解过程步骤构建CA证书详解过程步骤：[中间颁发机构（Cerificate Authority）是数字证书技术中非常重要的一个环节，它用于验证用户的身份和证书的真实性，以确保网络通信的安全性。

本文将详细介绍构建CA证书的过程，并解释每个步骤的含义和目的。

]第一步：确定需求和目标在构建CA证书之前，首先需要明确自己的需求和目标。

您可以考虑以下几个问题：- 您需要构建的CA证书的类型是什么？是根证书（Root Certificate）还是中间证书（Intermediary Certificate）？- 您是否已经有了根证书？如果没有，您是否打算自己创建一个根证书？第二步：生成根证书如果您决定自己创建一个根证书，可以按照以下步骤进行操作：1. 生成私钥：使用工具生成一个私钥文件，该私钥文件将用于创建和签署证书。

2. 创建CSR（证书签发请求）：使用私钥生成一个CSR文件，其中包含您的证书信息，如组织名称、国家/地区代码等。

3. 签署根证书：使用您自己的私钥和CSR文件，生成一个自签名的根证书。

第三步：设置证书策略在构建CA证书之前，需要明确一些证书策略，以确保证书的安全性和可靠性。

以下是一些值得考虑的策略：- 证书有效期：确定证书的有效期限，以防止过长或过短的有效期。

- 密钥长度：选择适当的密钥长度，以确保足够的安全性。

- 证书吊销策略：确定证书吊销的条件和操作，以防止证书被滥用或失效。

第四步：签发中间证书如果您需要创建中间证书，可以按照以下步骤进行操作：1. 生成私钥：与根证书类似，您需要生成一个私钥文件，用于创建和签署中间证书。

2. 创建CSR：使用私钥生成一个CSR文件，其中包含中间证书的信息，如组织名称、国家/地区代码等。

3. 签署中间证书：使用根证书的私钥和中间证书的CSR文件，生成一个被根证书签署的中间证书。

第五步：配置证书绑定在将证书部署到运行环境之前，需要进行一些配置操作以确保证书的正确绑定和使用。

Windows CA 证书服务器配置

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步’：点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装：‘完成’证书服务的安装。

开始》》》管理工具》》》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

中间 CA 证书服务器

中间（根）CA 证书服务器DNS 服务器：192.168.20.10PC1 ：192.168.20.10PC2 ：192.168.20.20一、将PC1 配置成中间CA 服务器二、PC2 创建私钥跟自签发(自签发不要带加密参数跟到期时间)三、安装openssh客户端，将PC2的自签发证书发送到PC1四、用CA证书进行证书签发，并把签发好的CA 发送至PC2五、PC2 的SSL 配置文件指定私钥跟PC1 签发好的证书位置六、配置PC2 的http 服务器并重启七、加S 访问PC2 的web 服务器___________________________________________________________________________________ 1、配置PC1 ：/etc/pki/tls/f，将FALSE 改为TRUE2、PC1 生成根证书/etc/pki/tls/misc/CA -newca在此处输入秘钥保护密码，输入两次相同的密码3、依次在下方填写国家，省份，城市，组织名称，组织单位名称，通用名(服务器主机名)，邮件地址。

4、在标红处直接回车跳过，标绿的地方输入你刚才上方输入的私钥保护密码，回车至此，根CA证书服务器完成可以自行查看私钥跟CA根证书：/etc/pki/CA/cacert.pem私钥：/etc/pki/CA/private/cakey.pem二、在PC2 中创建私钥跟证书申请文件红色方框中的一定要跟上面根CA 证书一致，否则报错，绿色箭头填写你网站的域名或者ip都可以注意，自签名一定不要带上加密参数跟证书有效时间PC1跟PC2 安装openssh-clients将(本机)PC2 的证书申请文件发送至PC 1 的/tmp 下PC1 使用CA证书进行签发命令：openssl ca -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -in /tmp/server.csr -out /server.crtScp server.crt 192.168.20.20:/ 将签发的证书发送至Apache 服务器并输入私钥保护密码OK，完成，接下来在PC2中配置http 服务器，并创建http 主页文件，重启http服务器，完成。