在上篇博文中提到,安全技术主要是通过证书来实现的,比如我们可以为Web服务器申请证书,以实现安全通信。证书可以向一些知名的商业CA申请,但这要缴纳不菲的费用,如果我们的网站只是在企业内部或一些合作单位之间使用,那么就可以自己架设CA来颁发证书。下面我们就来搭建这样一台CA证书服务器。
在复杂的认证体系中,CA分为不同的层次,其中根CA是CA信任体系结构的最高级,它一般负责整个CA体系的管理,为下属的子级CA签发并管理证书,而不直接为用户签发证书。根以下的各级CA都称为子级CA,负责本辖区的安全,并直接为用户颁发和管理证书。
在Windows Server 2008 R2系统中搭建CA服务器时,可以将服务器配置成企业根CA、企业子级CA、独立根CA、独立子级CA四种类型,其中企业CA要求AD服务,即CA服务器必须处于域环境,而独立CA则没有要求。企业CA和独立CA的主要区别见下图:
在我们的实验环境中只架设一台企业根CA,直接用它来为用户发放证书。
由于CA服务的负载并不大,因而没有必要单独占用一台服务器,我们这里将它部署在之前已经搭建好的额外域控制器(IP:192.168.1.2)上。
以域管理员的身份登录额外域控制器,在【服务器管理器】中选择添加“Active Directory证书服务”角色。
除了默认的证书颁发机构外,还需要安装“证书颁发机构Web注册”组件,并在跳出的界面中单击“添加所需的角色服务”按钮来安装IIS角色,以便让用户可以利用浏览器来申请证书。
CA安装类型选择“企业”。企业根CA发放证书的对象仅限于域用户。
CA类型选择“根CA”。
在“设置私钥”中选择“新建私钥”,此为CA的私钥,CA必须拥有私钥后才可以发放证书。
采用默认的私钥创建方法,加密算法使用的是RSA,密钥长度2048位,哈希算法(消息摘要算法)采用的是SHA1。
CA名称采用默认值。
CA有效期默认为5年。
证书数据库存放位置采用默认值,Web服务器选择角色服务中采用默认值,最终确认无误后开始安装。
完成安装后,可通过【管理工具】中的【证书颁发机构】来管理CA。
Active Directory域会通过组策略来让域内的所有计算机来自动信任根CA,也就是自动将企业根CA的证书安装到客户端计算机。由于这条组策略是在“计算机配置”中设置的,因而客户端计算机需要重启才能应用。
将客户端计算机重启之后,以普通域用户的身份登录,打开IE浏览器的“Internet选项”,可以看到我们刚才安装的企业根CA已经自动被加入到了“受信任的根证书颁发机构”中去。
此时在客户端打开浏览器,输入CA服务器的URL“http://192.168.1.2/certsrv/”,即可以打开证书申请页面,如图所示。(在访问时需要输入用户名和密码,输入任意一个域用户账户即可。)
注意,如果客户端无法正常打开CA的证书申请页面,那么可以通过以下两项操作来解决问题:一是将客户端的IE ESC功能关闭;二是推进用域名的形式访问CA,如http://ca.coolpen.net/certsrv,在2008的域环境中使用UNC路径或URL时,好像对IP支持的不够好,而使用域名则很少出问题。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1191801
