AD管理之三,企业根CA的安装
在这个充满危险的互联网上…为嘛说互联网危险?比如今天你在一个群里被人爆了老底,明天或许10个群里,100个论坛里,1000个网站里,连你祖上18代都给揭露了出来。。正题,现在无论是一些网站的账号注册,或者一些登陆,充值的界面,几乎都是使用的SSL连接。那么,无论是想要实现电子邮件的保护,还是SSL网站安全连接,都必须有证书(certification)的存在,才能使用公钥/私钥来执行数据的加密和身份验证。借用戴有炜老师书里面的一个例子,话说他妈“证书就跟机动车驾照一样,必须拥有机动车驾照(证书)才能开车(使用密钥)”,那么证书是哪里来的? 好问题,机动车驾照哪里来的? 得有一个大家都信任的机构交通局(证书颁发机构certification authority,CA)来进行颁发的。那么,对于在互联网上使用的一些证书,可能需要我们想互联网上的一些知名的商业CA进行申请。(额,有人问为什么? 你自己打印了张支票,刻了一个章,填上一串9,能去银行取出来钱嘛?)同样的道理。。但是如果在自己的公司里,如果我们的网站,邮件只是自己内部人在使用,那么还是完全可以搭建自己的CA来使用的。为什么?老板说的算。。。接下来,详细介绍如何通过使用windows server 2008 R2的Active Directory 证书服务来搭建我们企业内部第一台企业根CA。首先,企业根CA需要Active Directory域的支持,企业根CA可以安装在域控制器本身,或者成员服务器上;企业根CA发放证书的对象仅限于域用户。老一套,打开我们windows server 2008 R2上面的服务器管理器接下来,我们来添加一个服务在服务器角色选择里面,我们勾选上Active Directory证书服务在角色服务处,除了默认的证书颁发机构之外,我们勾选上“证书颁发机构Web注册”,点击之后会弹出一个提示,我们选择“添加所需的角色服务”来安装此组件所需的IIS网站,勾选此组件的目的是为了让用户可以直接利用浏览器去申请证书。在接下来的安装类型中,选择企业。如果此计算机没有在域中,或者不是使用Domain Admin身份来登录的话,企业CA是无法选择的。下一步之后,会提示选择CA的类型,这里我们来选择根CA。在下一步操作中,我们选择“新建私钥”。此私钥作为CA的私钥,CA必须有用私钥,才有向客户端发放证书的权利。如果在此之前你已经安装过CA,创建过一次私钥,在这次安装的时候,也可以直接使用之前创建过的私钥。在下一步选择加密方式的时候,我们使用默认的加密方式即可。关于CA的名称,只是作为一个显示名称存在,可以自己定义。好记,容易识别即可。也可直接采用默认证书的有效期默认是5年,如果没有特殊要求,采用默认即可。关于证书数据库和日志的位置,一般情况下采用默认即可。也可以自己定义在对于IIS下一步选择角色服务的操作中,CA需要用到的已经默认勾选,如果无特殊需要添加的,采用默认即可。最后一步,会显示出来综合的配置,点击安装,开始执行安装,需要注意的是,一旦机器安装了CA,则此计算机就不允许在进行更改计算机名等操作。企业根CA可以颁发的证书有很多类型,而且是根据“证书模板”来颁发证书。如下图所示:到此为止,一个简单的企业根CA已经搭建完成,而且Active Directory域会通过组策略来让域内的所有计算机来自动信任根CA,其实这个“信任”的过程,说白了。也就是将跟CA的证书安装到客户端的过程。域内的计算机用户也可以通过WEB界面去申请,下载证书。可以通过 http://ca的主机名、计算机名或者IP地址/certsrv来进行访问。
转载于:https://blog.51cto.com/99532720/703200
AD管理之三,企业根CA的安装相关推荐
- 企业根CA方法客户机证书的解决方案,ISA2006系列之三十
企业根CA如何发放客户机证书-L2TP证书问题的补充说明<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:offic ...
- CA证书服务器(5) 架设企业根CA
在上篇博文中提到,安全技术主要是通过证书来实现的,比如我们可以为Web服务器申请证书,以实现安全通信.证书可以向一些知名的商业CA申请,但这要缴纳不菲的费用,如果我们的网站只是在企业内部或一些合作单位 ...
- 自建ca根证书_独立根CA的安装与证书申请
独立根 CA 的安装与证书申请 独立根 CA 与企业 CA 不同,独立 CA 不需要使用 Active Directory 目录服务.独 立 CA 最初是为了用作 CA 层次结构中的受信任的脱机根 ...
- Windows Server下独立根CA的安装及使用(超详细)
独立根CA的安装及使用 简介 CA 证书 安装及使用步骤 独立根CA的安装 通过Web页面申请证书 证书发布 证书的下载和安装 简介 CA CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的 ...
- 域环境安装企业从属CA两种方法
环境:在域环境下两台DC域控制器,一台DC已经安装了企业根CA,另外一台DC没有安装CA 要求:另外一台DC服务安装企业从属CA服务. 具体步骤: 在第二台DC先安装IIS,再安装证书服务. 选择&q ...
- Windows AD证书服务系列---部署CA(1)
当你决定在企业中部署PKI的时候,首先需要确认的是你打算如何设计你的CA结构,CA的结构决定了你的内部PKI的核心设计,以及结构中每个CA的用途.每个CA结构通常会有两个或更多的CA,一般情况下,第二 ...
- 信息安全实验【CA的安装与使用实验】(独立根)
文章目录 实验目的 实验环境 实验原理 实验内容 实验步骤 实验目的 (1)利用Windows server提供的"证书服务"组件为用户颁发证书. (2)通过用户申请数字证书及服务 ...
- 微信企业支付 服务器根证书,微信支付服务器证书根ca证书有什么用
随着现如今网络的不断发展,我们的生活跟网络密不可分,现在到处充斥着手机消费,只要你手机上有微信.支付宝不管到哪里都可以买你想买的东西,钱包已经在家里闲置多时.手机支付给我们的生活带来便利的同时也会伴随 ...
- 解决企业子CA无法检查吊销的问题
[引言] "大数据"时代的到来已经势不可挡.在海量的数据面前,已经有越来越多的人意识到大数带来的挑战.其中非常重要的一项挑战就是信息的安全.在这样的背景下,加密技术得到了非常广泛的 ...
最新文章
- 《构建高性能web站点》随笔 无处不在的性能问题
- 给页面点击链接加了转圈圈和解决遇到的bug
- 洛谷 P3835: 【模板】可持久化平衡树
- 【转载保存】HtmlUnit的使用
- 数据库-MySQL-Java数据库连接-JDBC
- echo -e “\033[字背景颜色 字体颜色m字符串\033[0m“解释
- NLP 语义相似度常用计算方法总结
- 动态规划求解最少硬币是多少?
- matlab cody学习笔记 day18
- 机场生产运行数据统计指标-第一篇-总述
- Oracle存储过程实现X日均线计算
- SMC SY系列电磁换向阀
- Git之深入解析如何替换数据库中的Git对象
- App Store 隐私政策网址
- oracle查询去年、明年同期
- iOS-UIWebview WKWebView 页面缩放
- 亮考帮优秀作业计算机操作原理,对分课堂教学模式的“亮考帮”怎样在教案设计中分析体现...
- java修复工具_jar包修复工具箱
- 网卡丢包,rx_missed_errors 大于0,是什么问题导致的?
- 计算机产业scp分析,SCP框架下的网络杂志产业分析
热门文章
- 阿里达摩院再造AI抗疫技术:20秒判读CT影像,识别准确率达96%,河南率先启用...
- 华为200W年薪应届博士刷屏后,快手拉出了一个排的顶级名校工程师
- 中国无人车公司AutoX,打响加州RoboTaxi服务第一枪
- 看一名 KDE 开发者如何使用 C++17 为项目提升巨大速度
- 1 创建一个存储过程,以及对存储过程的调用 MySQL
- ipvs-dr模型及算法、keepalived基本应用、keepalive+ipvs实现高可用
- oracle client server那点事
- 详解Ubuntu10.10下Qt连接Mysql数据库
- JS数组方法汇总 array数组元素的添加和删除
- ASP.NET 2.0关于用户登录限制问题实例:防止同一用户同时登陆