CA服务器配置原理与图解过程

CA（证书颁发机构）配置概述图解过程

一．CA（证书颁发机构）配置概述

由于现在安全问题日益严重，为了保证数据传输的性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。

CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书包含了拥有证书者的、地址、电子、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。

CA的架构是一种层次结构的部署模式，分为“根CA”和“从属CA”：“根CA”位于此架构中的最上层，一般它是被用来发放证书给其他的CA（从属CA）。在windows系统中，我们可以构建4种CA：企业根CA和企业从属CA（这两种CA只能在域环境中）；独立根CA 和独立从属CA。

安装CA：通过控制面板--添加删除程序--添加删除windows组件--证书服务，在安装过程中选择安装的CA类型，再这里我们选择独立根CA，输入CA名称以及设置有效期限，完成向导即可。（在这里注意：安装证书服务前先安装IIS）申请证书：CA服务装好以后就可以直接申请证书了，申请证书有两种方法：通过MMC控制台（此方法只适用于企业根CA和企业从属CA）和通过WEB浏览器。在这里我们只能选择WEB浏览器的方式，找到一台客户端计算机，在IE浏览器中输入[url]ca[/url]服务器的IP地址或者计算机名/certsrv 即可。然后选择申请新证书，选择证书的类型，输入正确的信息，即可获得证书。

使用证书：我们可以自己架设一个最简单的POP3服务器，来实现服务。现在假设lily 要向lucy发送一封加密和签名电子，在lily这边的outlook中选择工具----，选择lily的，再单击属性--安全，选择证书就可以了。在lucy处做同样的操作。

二．证书服务器图解过程试验拓扑：

试验容以及拓扑说明：

试验容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请

试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.

试验配置过程：

第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：

安装完成后，如图：

证书服务的安装过程：

安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：CA服务器的ip地址或者计算机名/certsrv，如图：

再由CA服务器的管理员手工颁发证书，打开证书服务器server1，选择管理工具---证书颁发机构，颁发证书：

可以通过Internet选项的“容”或者MMC证书管理单元进行查看