構建基于Windows_2003的CA系统.docVIP

：构建基于Windows 2003的CA系统 实验环境如图-1所示。 PKI原理回顾：PKI是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI以数字证书为基础，使用户在虚拟的网络环境中能够验证相互之间的身份，并保证敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。CA系统是PKI的核心，因为它管理公钥的整个生命周期。 图1 实验环境 Windows 2003 Server对PKI做了全面支持，在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。 SSL（Secure Socket Layer，安全套接字层）是由Netscape公司开发的，被广泛应用于Internet上的身份认证及Web服务器和用户端浏览器之间的安全数据通信。SSL协议在TCP/IP协议之上，在HTTP等应用层协议之下，对基于TCP/IP协议的应用服务是完全透明的。利用CA颁发的证书，在服务器和客户端之间建立可靠的会话，从而保证两者之间通信的安全性。通过此类功能，企业就可以为相关用户颁发证书，并利用它来控制只有获取证书的用户才可以进行基于安全通道协议（即对Web网站上加密文件的访问使用https，而非http方式）验证的访问。 图-2 Windows组件向导 图-3 详细信息 实验过程如下： 1．安装证书服务器（CA服务器） 在3计算机上，创建IIS（Web服务器）和创建CA认证中心。 （1）创建IIS 依次选择选择【开始】/【控制面板】/【添加/删除程序】 /【添加/删除Windows组件】，出现【Windows组件向导】对话框，如图-2所示，选择【应用程序服务器】。单击【详细信息】按钮，选择如图-3所示的选项，单击【确定】按钮，回到图-2，单击【下一步】按钮，完成IIS的安装。 （2）创建CA认证中心 第1步：在图-2中选择【证书服务】，出现【Microsoft证书服务】对话框，如图-4所示，单击【是】按钮，回到图-2，单击【详细信息】按钮，出现【证书服务】对话框，如图-5所示，选中其中的两项，单击【确定】按钮，开始安装。 图-4 中国金融CA结构 图-5 证书服务组件 图-6 CA类型 第2步：在图-6中，选择证书颁发类型“独立根CA”。 选择证书颁发类型包括：企业根CA、企业从属CA、独立根CA和独立从属CA。 企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构，可以独立地颁发证书。企业根CA需要Active Directory支持，而独立根CA不需要。 从属级的CA由于只能从另一个证书颁发机构获取证书，所以一般不选择。 在Windows 2003 Server中，企业根CA使用Active Directory来确定申请人的身份，确定申请人是否具有申请他们所指定的证书类型的安全权限，并由此自动确定是否立即颁发证书或拒绝申请，这种策略设置不能被更改。如果选择此选项一定要注意保护含有此服务的服务器，不能直接暴露在外。 独立根CA可以选择在收到申请时自动颁发证书或将申请保持为挂起状态，由管理员验证证书申请者的真实性及合法性，决定是否颁发证书。 第3步：在图-6中，单击【下一步】按钮，如图-7所示，填写CA识别信息，单击【下一步】按钮，如图-8所示，出现【证书数据库设置】对话框，选择证书数据库及日志的位置。 第4步：在图-8中，单击【下一步】按钮，出现如图-9所示对话框，询问是否停止IIS，单击【是】按钮，如图-10所示。配置组件过程中，出现如图-11所示对话框，单击【是】按钮。出现如图-12所示对话框，单击【完成】按钮，安装完成。 图-7 CA识别信息 图-8 证书数据库设置 图-9 是否停止IIS 图-10 配置组件 图-11 图-12 安装完成 第5步：设置证书服务管理。依次选择【开始】/【程序】/【管理工具】/【证书颁发机构】，如图-13所示。右键单击【jsjCA】，选择【属性】/【策略模块】，如图-14所示。单击【属性】按钮，如图-15所示，选择【将证书请求状态设置为挂起，管理员必须明确地颁发证书】，单击【确定】按钮，完成证书服务管理的设置。 图-13 证书颁发机构 图-14 jsjCA属性 图-15 请求处理 图-16 Internet信息服