Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装
[计算机软件及应用]windowsserver2008下配置CA服务器文档
![[计算机软件及应用]windowsserver2008下配置CA服务器文档](https://img.taocdn.com/s3/m/d50cea9703d276a20029bd64783e0912a2167c04.png)
Windows server 2008下构建CA服务器文档一、添加服务器管理器角色首先打开服务管理器,选择开始-》管理工具-》服务管理器。
选择角色,右键添加角色。
打开添加角色向导对话框。
在“选择服务器角色”页中,选中“Active Directory证书服务”。
在“选择角色服务”页中,添加“证书颁发机构”、“证书颁发机构Web注册”,在选择“证书颁发机构Web注册”时,会弹出添加IIS的对话框,单击“添加必需的角色服务”即可自动添加所需要的IIS服务。
在“指定安装类型”页中,选择“独立”,这就是表示要安装“标准CA证书”服务器了。
在“指定CA类型”页,选择“根CA”。
在“设备私钥”页,选择“新建私钥”。
在“为CA配置加密”页,选择默认值。
填写CA的公用名称。
选择默认,点击下一步。
选择默认,点击下一步。
选择默认,点击下一步勾选, 在选择时会出现“是否添加所需的角色服务”对话框,选择“添加必须的角色服务”选项。
之后点击下一步。
点击安装。
安装完成,点击关闭按钮,然后在服务管理器中会看到添加的角色。
重启电脑,使配置生效。
二、配置AD证书服务器为自动颁发证书打开AD证书服务器,点击开始菜单->管理工具->Certification Authority。
打开我们建立的证书颁发机构的属性对话框。
在属性对话框中选择策略模块选项卡,在策略模块选项卡中点击属性按钮,在弹出的属性对话框中选择“如果可以的话,按照证书模板中的设置。
否则将自动颁发证书”选项,点击确定。
之后重启证书颁发机构,是配置生效。
三、配置IIS打开IIS管理器,选择开始菜单->管理工具->Internet 信息服务(IIS)管理器。
3.1配置服务器证书在IIS服务器根目录下,在中间的主页界面中双击服务器证书,打开服务器证书配置页面,在右侧选择创建证书申请,打开申请证书向导。
填写相关的信息后,点击下一步。
选择默认,下一步。
为证书申请指定文件名。
windows2021中CA服务器配置方法与步骤
windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思:如果你要访问这个网站,你必须通过认证之后,才有资格访问这个网站,平常是不能访问这个网站的,这个网站的安全性能提高很多。
第一部分:加装步骤一、安装证书服装器用一个证书的服务器去颁授证书,然后再采用这个证书。
ca的公用名称:windows2021a二、要在配置的网站上申请证书(草稿)找出我们布局的网站的名称:myweb,右击“属性”-“目录安全性”-“服务器证书”,回去提出申请一个证书。
“新建一个证书”,在国家时“必须挑选cn中国“,下面省市:江苏省,邳州市,最后必须分解成一个申请的文件,一般文件名叫:certreg.txt这样一个文件。
相当于一个申请书。
三、正式宣布向证书机构回去提出申请一个证书(正式宣布提出申请)local本地host是主机:localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。
1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件:certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。
5。
提交之后才正式申请开始,等着颁发证书。
四、颁授证书到“证书颁发机构”-选择\挂起的申请“,找到这个申请之后,右击”任务“颁发”这就相当于颁发一个正常的证书了。
2、查阅挂上的证书提出申请的状态,如果存有一个,就浏览这个证书:用base64这个类型的证书,把这个证书留存起至c:\\certnew.cer这样一个崭新证书。
六、使用这个证书来完成ca服务器的配置。
右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”,把刚才下载到c:\\certnew.cer这样一个证书用上就可以了。
七、采用ssl(安全地下通道)功能去出访网页方法是:右击“myweb\这个网站,选择“属性”“目录安全性”在“安全通信中的编辑”中,选择“要求安全通道”和”要求客户端的证书“。
Windows中的证书服务及应用1PKI和CA概述
5.5 证书的审核与管理
证书的审核与管理Windows Server 2003服务 器上进行。 (1)当有客户机通过网站申请了证书之后,在 Windows Server 2003服务器上,依次单击“开始/ 管理工具/证书颁发机构”菜单,打开“证书颁发机 构”控制台窗口。在主窗口中展开树状目录,单击“ 挂起的申请”项,找到刚才申请的证书,然后右键单 击该项,选择“所有任务/颁发”。
(3)单击“安装此CA证书链”链接,弹出一 个证书指纹安全警告对话框,显示了证书指纹。 (4)单击“是”按钮,安装好证书链之后, 系统提示“CA证书链已成功安装”。 (5)回到地址为“http://证书服务器IP地址 /certsrv/default.asp”的证书服务欢迎页面。
(6)单击“申请一个证书”,打开“申请一 个证书”页面。 (7)单击“高级证书申请”,打开“高级证 书申请”页面。
(1)在Windows XP客户端的IE浏览器的地址 栏中,再次输入“http://证书服务器IP地址 /certsrv/default.asp”访问证书注册页面。 (2)单击“查看挂起的证书申请的状态”链接, 打开“查看挂起的证书申请的状态”页面。
(3)单击要查看的证书申请,如“客户端身 份验证证书”,可看到“证书已颁发”页面。 (4)单击“安装此证书”链接,打开“证书 已安装”页面,提示新证书已经成功安装。
windows server 2003 证书服务(CA)的部署
独立CA可向Windows2003网络外部的用户颁发证书,并且不需要活动目录的支持。
选择CA模式在建立认证服务之前,选择一种适应需要的认证模式是非常关键的,安装认证服务时可选择4种CA模式,每种模式都有各自的性能和特性。
企业根CA企业根CA是认证体系中最高级别的证书颁发机构。
它通过活动目录来识别申请者,并确定该申请者是否对特定证书有访问权限,。
如果只对组织中的用户和计算机颁发证书,则需建立一个企业的根CA。
一般来讲,企业的根CA只对其下级的CA颁发证书,而下级CA再颁发证书给组织中的用户和计算机。
安装企业根CA需要如下支持:1.活动目录证书服务的企业策略信息存放在活动目录中。
2.DNS名称解析服务在Windows2003中活动目录与DNS紧密集成。
3.对DNS活动目录和CA服务器的管理权限。
企业下级CA企业下级CA是组织直接向用户和计算机颁发证书的CA。
企业下级CA在组织中不是最受信任的CA,它还要有上一级CA来确定自己的身份。
独立根CA独立根CA是认证体系中最高级别的证书颁发机构,独立CA不需活动目录,因此即使是域中的成员也可不加入到域中。
独立根CA可从网络中断开放置到安全的地方。
独立根CA可用于向组织外部的实体颁发证书,同企业根CA一样,独立根CA通常只向其下一级的独立CA颁发证书。
独立CA独立CA将直接组织外部的实体颁发证书。
建立独立CA需要以下支持:1.上一级CA:比如组织外部的第三方商业性的认证机构。
2.因为独立CA不需要加入到域中,因此要有对本机操作的管理员权限。
安装证书服务认证服务不是Windows2003的默认服务,需要在Windows2003安装完毕后手工添加。
要在一台服务器上安装企业根CA,需要以下操作步骤。
1.从“控制面板”,双击“添加/删除程序”,单击“添加/删除Windows组件”,选中“证书服务”,单击“下一步”。
如图5-3所示。
图6-3 添加证书服务2.选中“企业根CA”,并选中“高级选项”,单击“下一步”。
WindowsCA_证书服务器配置
WindowsCA_证书服务器配置Windows CA 证书服务器配置一、介绍Windows CA 证书服务器是用于创建和管理数字证书的工具。
本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。
二、系统要求在开始配置 Windows CA 证书服务器之前,请确保系统满足以下要求:1、Windows Server 操作系统。
2、硬件资源满足最低配置要求。
3、网络连接稳定。
三、安装 Windows CA 证书服务1、打开“服务器管理器”。
2、在“角色和功能”窗口中,选择“添加角色和功能”。
3、在向导中,选择“角色基于功能或角色的安装”,并“下一步”。
4、选择要安装 Windows CA 证书服务的服务器,“下一步”。
5、在“选择服务器角色”窗口中,选中“Active Directory 统一访问角色”,“下一步”。
6、在“选择角色服务”窗口中,选中“证书授权服务”,“下一步”。
7、在“确认安装选择”窗口中,“安装”。
8、安装完成后,“关闭”。
四、配置 Windows CA 证书服务器1、打开“证书授权管理控制台”。
2、在左侧导航栏中,选择“证书授权站点”。
3、在右侧窗口中,“配置证书授权站点”。
4、在向导中,选择“企业证书授权站点”,“下一步”。
5、选择要使用的证书数据库类型,“下一步”。
6、配置站点设置,包括站点名称、默认访问 URL 等,“下一步”。
7、配置证书颁发策略,设置证书的颁发方式和条件,“下一步”。
8、配置证书申请策略,设置证书的申请方式和条件,“下一步”。
9、完成配置后,“完成”。
五、证书管理1、打开“证书授权管理控制台”。
2、在左侧导航栏中,选择“已颁发的证书”。
3、在右侧窗口中,可以查看和管理已颁发的证书。
六、证书分发1、打开“证书授权控制台”。
2、在左侧导航栏中,选择“颁发策略”。
3、在右侧窗口中,可配置证书颁发的策略。
4、在客户端申请证书时,其请求将被验证,并根据颁发策略进行处理。
配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA
配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA配置 Lotus Domino 使用第三方 CA - Microsoft Windows CA本文描述了如何在 Lotus Domino 中配置使用第三方 CA 提供的数字证书以进行 Domino Web 页面的 SSL 登录,以及在收发 Internet 邮件时如何使用第三方 CA 数字证书进行签名和加密,并以 Windows CA 为例,全程描述了证书申请、注册、使用的过程。
前言什么是 CACA 为 Certificate Authority 的缩写,也就是认证权威机构。
它提供数字证书的发放、管理、取消等服务。
认证权威机构将自己的公钥放在根证书里发布到互联网上,以证明该机构发放的服务器 和个人证书。
在互联网上通过数字证书来进行身份认证、数字签名、数字加密等操作,从而保证信息安全。
Domino 的安全机制在 Lotus Domino/Notes 里也需要有认证机制来保证服务器和个人用户的身份和信息安全。
不同于互联网上的 CA,Domino 的每个服务器和个人都拥有唯一的 ID 文件,而所有这些 ID 文件都是由一个根—— certifier ID 发放的。
这个根就是 Notes 层次名的最后一级。
Domino 里使用 ID 文件来完成邮件加解密、身份验证。
为什么使用第三方 CA为 了使 Domino 用户在 Notes 世界以外的互联网上保证身份验证的正确和信息传播的安全,需要使用 CA 来发放符合互联网标准的数字证书。
Lotus Domino 本身也带有 CA 服务,因而可以将 Domino 服务器配置成一个 CA,并使用 Domino CA 发放的数字证书或进行 SSL,或进行 internet 邮件的签名、加密等操作。
前文已经提到,互联网上存在独立 的认证权威机构。
常见的受信任的 CA 根证书已经被加载到常见浏览器和服务器中。
WindowsCA_证书服务器配置
12
CA的职责
CA中心的证书审批业务部门则负责对证书申请者进行资 格审查,并决定是否同意给该申请者发放证书,并承担因审 核错误引起的、为不满足资格的证书申请者发放证书所引起 的一切后果,因此,它应是能够承担这些责任的机构担任; 证书操作部门(Certificate Processor,简称CP)负责为已 授权的申请者制作、发放和管理证书, 并承担因操作运营错 误所产生的一切后果,包括失密和为没有授权者发放证书等, 它可以由审核业务部门自己担任,也可委托给第三方担任。
证书的版本信息; 证书的序列号,每个证书都有一个唯一的证书序列号; 证书所使用的签名算法; 证书的发行机构名称,命名规则一般采用X.500格式; 证书的有效期,现在通用的证书一般采用UTC时间格式; 证书所有人的名称,命名规则一般采用X.500格式; 证书所有人的公开密钥; 证书发行者对证书的签名
18
CA中心的作用
确定客户密钥生存周期,实施密钥吊销和更新管理
每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发 证书的CA中心来确定。各CA系统的证书有效期限有所不同,一般 大约为2~3年。
19
CA中心的作用
密钥更新不外为以下两种情况:密钥对到期、密钥泄露后需要启 用新的密钥对(证书吊销)。密钥对到期时,客户一般事先非常 清楚,可以采用重新申请的方式实施更新。
16
CA中心的作用来自自身密钥的产生、存储、备份/恢复、归档和销毁
从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密 钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生, 并存储于加密硬 件内,或以一定的加密形式存放于密钥数据库内。 加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保 护起来。密钥的销毁要以安全的密钥冲写标 准,彻底清除原有的 密钥痕迹。需要强调的是,根CA密钥的安全性至关重要,它的泄 露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照 最高安全级 的保护方式来进行设置和管理。
WindowsCA_证书服务器配置
WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA(Certificate Authority)是一种权威的证书颁发机构,负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。
数字证书是一种用于验证实体身份的电子文档,可用于确保通信的安全性和完整性。
本文将详细介绍Windows CA证书服务器的配置方法,帮助您完成证书颁发的整个流程。
二、配置步骤1、安装证书服务在Windows服务器上安装证书服务,可以打开“服务器管理器”,然后从“角色”页面选择“添加角色”。
在“角色”对话框中,选择“证书”,然后按照向导完成安装。
2、创建根CA在安装完证书服务后,需要创建一个根CA。
在“服务器管理器”中,打开“证书”并选择“根CA”。
在“根CA”对话框中,输入CA的名称和其他相关信息,然后按照向导完成创建。
3、配置颁发机构策略在创建完根CA后,需要配置颁发机构策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“策略”选项卡,然后根据需要进行配置。
例如,可以设置证书的有效期、设置证书的主题和其他相关信息等。
4、配置申请策略在配置完颁发机构策略后,需要配置申请策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请”选项卡,然后根据需要进行配置。
例如,可以设置申请者的身份验证方法和证书模板等。
5、接受申请当有用户或设备需要申请数字证书时,需要在证书服务器上接受申请。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请队列”选项卡,然后双击需要处理的申请。
在“处理申请”对话框中,选择处理方式(例如自动批准或手动批准),然后按照向导完成处理。
6、颁发证书在处理完申请后,需要颁发数字证书。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“已颁发的证书”选项卡,然后双击需要颁发的证书。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装
2008-09-24 10:03
安装准备:插入Windows Server 2003 系统安装光盘
添加IIS组件:
点击‘确定’,安装完毕后,查看IIS管理器,如下:
添加‘证书服务’组件:
如果您的机器没有安装活动目录,在勾选以上‘证书服务’时,将弹出如下窗口:
由于我们将要安装的是独立CA,所以不需要安装活动目录,点击‘是’,窗口跳向如下:
默认情况下,‘用自定义设置生成密钥对和CA证书’没有勾选,我们勾选之后点击‘下一步’可以进行密钥算法的选择:
Microsoft 证书服务的默认CSP为:Microsoft Strong Cryptographic Provider,
默认散列算法:SHA-1,密钥长度:2048——您可以根据需要做相应的选择,这里我们使用默认。
点击‘下一步’:
填写CA的公用名称(以AAAAA为例),其他信息(如邮件、单位、部门等)可在‘可分辨名称后缀’中添加,有效期限默认为5年(可根据需要作相应改动,此处默认)。
点击‘下一步’:
点击‘下一步’进入组件的安装,安装过程中可能弹出如下窗口:
单击‘是’,继续安装,可能再弹出如下窗口:
由于安装证书服务的时候系统会自动在IIS中(这也是为什么必须先安装IIS 的原因)添加证书申请服务,该服务系统用ASP写就,所以必须为IIS启用ASP 功能,点击‘是’继续安装:
‘完成’证书服务的安装。
开始》》》管理工具》》》证书颁发机构,打开如下窗口:
我们已经为服务器成功配置完公用名为AAAAA的独立根CA,Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。
此时该服务器(CA)的IIS下多出以下几项:
我们可以通过在浏览器中输入以下网址进行数字证书的申请:http://hostname/certsrv或http://hostip/certsrv
申请界面如下:。