CA服务器配置原理与图解过程

Ca配置全过程生成证书申请CRS文件A，在W AS（采集服务器）安装机上，找到ikeyman工具（c:\IBM\WebSphere\AppServer\bin）B，运行ikeyman，在菜单中选择“创建数据库文件”，格式选择“jks”，密码“xxx”，路经为“c:\key”，文件名“xxx.jks”C，创建证书请求：密钥标号“YN”，密钥大小“1024”，公共名称: “YN”，组织: “YN”，组织单位: “YN”，市、县、区：“KUNMING”，省、直辖市: “YUNNAN”邮政编码:“650031”，国家:“CN”，文件名“xxx.arm”1，发送请求文件到RA中心签名A，发送“xxx.arm”到RA中心（制证处）B，从电子政务接受签名证书，xxx.cer，根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer 导入签名证书A，在W AS（采集服务器）安装机上，运行ikeyman，打开key数据库“xxx.jks”B，选择“个人证书”，选择“接收”，选择“xxx.cer”C，导入签名证书配置WAS的sslA,登陆W AS（采集服务器）的控制台，https://127.0.0.1:9043/ibm/console,用户名sa, 密码xxx B,选择“安全性”，选择“ssl”,选择“新建”，配置ssl在导航树中,选择安全==>SSL单击新建一个SSL配置指定一个别名，例如W ASServerSSL指定连接为SSL指定密钥文件，密码；信任文件，密码点击运用，屏幕上端选择保存C,使用ikeyman，创建一个数据库文件“xxx_trust.jks”,导入“xxx.cer”，供ssl信任数据库使用D,服务器中，选择“application”,选择“server1”,选择“传输数据链路”，选择“443”端口，把SSL的配置信息修改为上面的SSL配置在导航树中,选择服务器＝＝＞运用服务器服务器列表中选择：server1在属性下选择：web容器，选择HTTP传输链路选择运用的https server（４４３），选择ssl配置，更改ssl的配置为WASServerSSL,点击运用，屏幕上端选择保存E,重起W AS，验证SSL已生效配置JAVA运用证书，（JAVA程序需要使用HTTPS，所以需要配置证书）A，copy 证书“xxx.cer”到c:\IBM\WebSphere\AppServer\java\jre\bin下B，导入证书在c:\IBM\WebSphere\AppServer\java\jre\bin执行：keytool -import -v -trustcacerts -storepass changeit -keypass changeit -alias xxx_certs -file xxx.cer -keystore c:\IBM\WebSphere\AppServer\java\jre\lib\security\cacerts如果证书名“xxx_certs”存在删除之Keytool –delete –storepass changeit -keypass changeit -alias xxx_certsC，增加证书IP DNS编辑C:\WINDOWS\system32\drivers\etc\HOSTS文件增加一行纪录: 172.16.20.199 YN (名称为证书的CN)配置tomcat的sslA，在tomcat目录下，conf目录下，编辑server.xml文件B，打开8443配置，例如<Connectorport="8443" minProcessors="5" maxProcessors="75"enableLookups="false"acceptCount="100" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="c:\ xxx.jks " keystorePass=" xxx">C,重起tomcat，测试8443端口keystoreFile="c:\ yngzw.jks " keystorePass=" yunnanguoziwei ">IE客户端配置导入根证书YUNNAN CA.cer，YUNNAN ROOT CA.cer，依次双击证书文件，按提示，选择“下一步”。

架设CA服务器和HTTPS服务器CA服务器ip：10.1.56.75，客户端ip：10.1.56.175如图1所示，只验证服务器的SSL握手过程图 1通过wireshark抓包获取的数据，如图2所示具体握手协议，如下图所示client helloServer hello,certificate,server hello doneClient key exchange,change cipher spec,encrypted handshark messageChange cipher,encrypted handshake message下面介绍只需要验证SSL服务器身份，不需要验证SSL客户端身份时，SSL的握手过程为：(1) SSL客户端通过Client Hello消息将它支持的SSL版本、加密算法、密钥交换算法、MAC 算法等信息发送给SSL服务器。

(2) SSL服务器确定本次通信采用的SSL版本和加密套件，并通过Server Hello消息通知给SSL 客户端。

如果SSL服务器允许SSL客户端在以后的通信中重用本次会话，则SSL服务器会为本次会话分配会话ID，并通过Server Hello消息发送给SSL客户端。

(3) SSL服务器将携带自己公钥信息的数字证书通过Certificate消息发送给SSL客户端。

(4) SSL服务器发送Server Hello Done消息，通知SSL客户端版本和加密套件协商结束，开始进行密钥交换。

(5) SSL客户端验证SSL服务器的证书合法后，利用证书中的公钥加密SSL客户端随机生成的premaster secret，并通过Client Key Exchange消息发送给SSL服务器。

(6) SSL客户端发送Change Cipher Spec消息，通知SSL服务器后续报文将采用协商好的密钥和加密套件进行加密和MAC计算。

(7) SSL客户端计算已交互的握手消息（除Change Cipher Spec消息外所有已交互的消息）的Hash值，利用协商好的密钥和加密套件处理Hash值（计算并添加MAC值、加密等），并通过Finished消息发送给SSL服务器。

典型CA系统原理图和系统密钥管理体系中国电视网2005-01-29 12:29:01 信息来源：典型CA系统原理图典型CA系统加密算法首先，从理论上说，世界上没有破解不了的CA系统，破解它只是时间问题以及有没有商业上的价值。

然而实际中我们确实可以在技术上做到系统的“不可破译性”，也就是说从时间上、空间上以及从所付出的代价上让破解没有价值。

这里所谓的技术就是指密钥管理体系和算法，一个严谨的、安全的密钥管理体系和算法将会极大地提高一个CA系统的安全性，使对它的破解极其困难。

其次，由于所选择的加密技术的不同，CA系统被破解的次数以及被破解所造成的损失也不相同。

在欧洲几乎所有的CA 系统都已被破解，其中包括我们常见的几个国外CA厂家。

然而CA系统被破解所产生的后果却有着本质上的区别，有的仅仅是一个运营商的系统在一段时间内被破解，但并没有影响其它系统的安全运营；有的却是其CA系统被完全破解，从而殃及了其所有的运营商的系统。

最后，严格说来，密码学中并没有基于算法和基于密钥的概念。

因为密钥和算法本身就是密码学的两个要素，是很难分割的。

所谓的区分实际上是CA系统所传递的信息的差别，有的CA系统仅仅传递加密算法的参数，而大多数的CA 系统则是传递加密的密钥。

两种传输密钥的形式各有优劣，没有绝对的孰优孰劣的结论。

在CA系统的密钥管理体系中，除了那些使用自己独有算法的CA系统外，一般的CA系统都使用以下的三种算法: Data Encryption Standard (DES)算法、三重DES(Triple-DES)算法、RSA算法。

前两种属于对称密码体系，第三种属于非对称密码体系。

对上述的三种密钥算法我们将做一个简单的介绍，目的就是从密钥算法的角度去衡量一个CA系统的安全性。

DES算法是IBM公司于1975年研究成功并公开发表的一种基于对称密码体系的算法。

其基本的原理是用一个64位字长的密钥(实际是56位加8位效验)分组后通过16次的左移得到16个子密钥，然后通过16次的迭代运算去加密一个64位的数据块，从而得到加密后的数据。

证书服务器CA的安装及其配置先安装非AD域环境下的证书服务。

证书服务器CA是很实用的一个工具，其安装之前必须要安装IIS组件。

然后点击添加证书服务，选择独立根，单击下一步，给证书服务器命名；选择证书服务器数据库和日志存放位置；单击下一步开始安装。

（提示停止IIS服务）弹出对话框，如图，单击是；安装完成后，客户端即可申请证书，由于是独立根CA，而且不是域环境，所以只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：选择申请一个证书；选择web浏览器证书；选择创建并向此CA提交一个申请；填写注册信息，然后点击提交；如图所示；再由CA服务器的管理员手工颁发证书，打开证书服务器，选择管理工具-证书颁发机构，颁发证书；打开IIS服务器，可以看到此时该服务器（CA）的IIS下多出以下几项：打开IE，输入http://服务器名或IP名/certsrv，点击查看挂起的证书申请的状态。

可以通过Internet选项的“内容”或者MMC证书管理单元进行查看。

此外，在申请证书时如果选择启用强私钥保护，弹出对话框，点击是单击设置安全级别；安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：然后输入密码，单击完成；单击确定；打开IE输入http://192.168.1.6/certsrv/certckpn.asp，按照上诉步骤点击需要查看的证书，点击客户端身份证书，弹出对话框；如图打开IE工具-Internet选项-内容-证书，即可查看刚刚颁发的证书。

在web中实现SSL1.生成证书申请打开IIS管理器，展开网站，右击想要安装该的证书的 Web 站点，单击属性。

选择目录安全性选项卡，单击“安全通信”下的“服务器证书”。

弹出欢迎使用web服务器证书安全向导，单击下一步，选择“新建证书”单击“下一步”。

选择“现在准备证书请求，但稍后发送”单击下一步。

然后键入证书的名称。

选择位长；越高的位长，在更强的证书加密。

windows环境下独立根ca的安装和使用实验原理在Windows环境下安装和使用独立根CA的实验原理如下：1. 安装独立根CA：- 首先，在Windows服务器上运行“Server Manager”并选择“添加角色和功能”。

- 在安装类型中选择“基于角色或基于功能的安装”。

- 选择要安装根CA的服务器并选择“下一步”。

- 在“功能”窗口中，选择“证书服务”并点击“下一步”。

- 在“证书服务”窗口中，选择“认证机构的Web注册界面”和“证书框架”。

- 完成安装过程，等待安装完成。

2. 配置独立根CA：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“配置CA”。

- 在“设置CA角色”窗口中选择“独立根CA”并点击“下一步”。

- 配置CA名称和保存路径，并点击“下一步”。

- 设置CA的公共密钥长度并点击“下一步”。

- 选择“创建根凭据并指定名称”并输入凭据名称。

- 配置完成后，点击“下一步”并等待配置完成。

3. 使用独立根CA颁发证书：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“请求新证书”。

- 在“证书颁发机构策略”窗口中选择“Web服务器”和“合规性”选项。

- 输入要安装的证书请求文件的位置并点击“下一步”。

- 在“证书颁发机构证书安装向导”中，点击“下一步”直到完成安装。

- 颁发证书后，可以在“Server Manager”中查看已颁发的证书。

原理：通过安装和配置独立根CA，可以在Windows环境中建立一个独立的证书颁发机构。

独立根CA可以用于颁发和管理数字证书，以进行身份验证和加密通信。

安装和配置后，可以通过Web界面或其他管理工具颁发证书并在系统中使用。

这样，用户就可以在Windows环境中建立一个自己的独立证书颁发机构，以满足特定安全需求。

Windows CA 证书办事器配置(一) —— Microsoft 证书办事安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，检察IIS治理器，如下：添加‘证书办事’组件：如果您的呆板没有安装运动目录，在勾选以上‘证书办事’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装运动目录，点击‘是’，窗口跳向如下：默认情况下，‘用自界说设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：Microsoft 证书办事的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以凭据需要做相应的选择，这里我们使用默认。

点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部分等）可在‘可辨别名称后缀’中添加，有效期限默认为5年（可凭据需要作相应窜改，此处默认）。

点击‘下一步’：点击‘下一步’进入组件的安装，安装历程中可能弹出如下窗口：单击‘是’，继承安装，可能再弹出如下窗口：由于安装证书办事的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请办事，该办事系统用ASP写就，所以必须为IIS启用ASP功效，点击‘是’继承安装：‘完成’证书办事的安装。

开始》》》治理东西》》》证书发表机构，打开如下窗口：我们已经为办事器乐成配置完公用名为AAAAA的独立根CA，Web办事器和客户端可以通过访问该办事器的IIS证书申请办事申请相关证书。

此时该办事器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：Windows CA 证书办事器配置(二) ——申请数字证书在IE地点栏中输入证书办事系统的地点，进入办事主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有许多专业术语，高级用户也可点击进入进行申请。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

企业中CA服务器的架设和应用目录1CA的基础知识 (1)1.1 什么是CA (1)1.2 CA的分类 (2)1.3 CA服务器在企业内的应用 (2)2CA服务器的架设 (3)3CA服务器在企业里的具体应用 (10)3.1 基于CA证书的web服务器高安全性架构 (10)3.1.1 实验拓扑图 (10)3.1.2 Web服务器（IIS）安装和配置 (10)3.1.2.1 Web服务器的安装 (10)3.1.2.2 Web服务器从CA申请“web服务器证书” (11)3.1.2.3 客户端通过基于SSL协议访问https站点 (19)1CA的基础知识1.1什么是CACA（Certification Authority）即认证中心。

它负责为用户颁发证书，且具有权威性；证书中核心技术是非对称式加密技术。

用户在申请证书时，需要输入姓名、地址与电子邮件地址等数据，这些数据会被发送到一个称为CSP（密码学服务提供者）的程序，此程序默认已经被安装到申请者的计算机内。

CSP会自动创建一对密钥：一个公钥和一个私钥，CSP会将私钥存储到申请者计算机的注册表中，然后将证书申请数据与公钥一起发送到CA。

CA检查这些数据无误后，会利用自己的私钥将要发放的证书加以签名，然后发放证书。

申请者收到证书后，将证书安装到自己的计算机里。

目前所使用的证书大都遵循由国际电信联盟制定的X.509数字证书标准，符合该标准的证书主要包含以下内容：1.2CA的分类若通过Windows Server 2008 R2的Active Directory 证书服务（AC CS）来提供CA服务的话，则你可以选择将CA设置为以下角色之一：1：企业根CA（enterprise root CA）企业根CA需要Active Directory域，你可以将企业根CA安装到域控制站或成员服务器。

企业根CA发放证书的对象仅限域用户，当域用户来申请证书时，企业根CA可以从Active Directory来得知该用户的相关信息，并据以确定该用户是否用权利来申请所需证书。

Windows2003中CA服务器的安装与配置CA是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：安装步骤一、安装证书服装器用一个证书的服务器来颁发证书，然后再使用这个证书。

CA的公用名称：windows2003A二、要在配置的网站上申请证书(草稿）找到我们配置的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，去申请一个证书。

“新建一个证书”，在国家时“必须选CN中国“，下面省市：江苏省，邳州市，最后要生成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式向证书机构去申请一个证书（正式申请）在网页地址栏中输入：http://localhost/certsrv这样一个地址local本地host是主机：localhost本地主机/certsrv这个cert这证书server srv服务器certsrv:证书服务器。

1、申请一个证书2高级证书申请3、选择一个bAse64这个证书4、把刚才生成的申请书文件：certrreg.txt文件中的内容全部复制到网页中保存的申请框中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁发证书到“证书颁发机构”-选择"挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

五、要把这个已经颁发过的证书下载下来。

方法就是：1、http://localhost/certsrv2、查看挂起的证书申请的状态，如果有一个，就下载这个证书：用BASE64这个类型的证书，把这个证书保存起C：\certnew.cer这样一个新证书。

六、使用这个证书来完成CA服务器的配置。

右击“这个网站的名字myweb",选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到C：\certnew.cer这样一个证书用上就可以了。