SSL應用系列之一：CA證書頒發機構（中心）安裝圖文詳解

原創作品，允許轉載，轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://jeffyyko.blog.51cto.com/28563/140518

       如果你需要在組織里發布exchange，或者需要給IIS配置SSL的訪問方式，則需要部署CA，關于CA的應用，后續會有幾篇文章來專門敘述，本文僅僅介紹CA證書頒發機構的安裝，這也是SSL應用的基礎工作。

閱讀本文，你將了解到以下內容

◆什么是CA及CA的作用

◆安裝CA的準備條件

◆如何CA安裝

◆何為根證書

       在安裝CA前，我們需要了解什么是CA。字面上理解，CA即Certificate Authority ，也就是證書授權中心，對于這6個字，如何理解？來幫大家逐字分析一下：

中心：可以得知首先它是一個集中化的管理某種東西的一個系統或者說是一個平臺

授權：可以理解為，如果需要得到某種東西、或者實現某些目的需要通過這個中心進行認證，獲得許可以后才可以繼續操作。

證書：證書的最大作用就是通過某種東西來證明某種東西的合法性和存在性。

       總結一下，為了實現證明及安全的目的，我們建立了一套系統或者平臺，它可以用來證明某些事物的合法性和真實存在性，并且為此提供足夠強的保護，從而來抵御外界的攻擊。這就是證書認證系統或者證書授權中心。概念似乎很抽象，不過后面會講到更多的應用，當你理解這些應用后，再回過頭來看這段話就會覺得很好理解。

我們開始吧，首先介紹一下CA安裝的基礎環境。

基礎環境：

1、服務器版本操作系統，2000ser或2003 ser ,2008 ser等

2、安裝CA前，請先安裝好IIS。

一、安裝CA

1、首先打開添加與刪除程序，找到添加與刪除組件，找到證書服務

當我們選中證書服務的時候，系統會彈出一個提示

大致意思是由于安裝CA后會將計算機名綁定到CA是并會存儲在活動目錄中，所以裝完CA后無法修改計算機名稱，我們這里點擊YES，

這里有4種CA類型可供選擇。

有2大類，企業根CA和獨立根CA，各自又有一個從屬的CA。從屬CA是為上級CA授權給下級CA機構來頒發證書準備的，就范圍和功能性而言，企業CA較獨立CA更廣，更強大。比如獨立CA無法使用證書模板，而企業CA可以。還有一點就是一個網絡上首個安裝的CA必須為根CA，若是企業根CA則必須有域環境，這里我們就選擇第一個，并點擊【Next】

在這個界面中，我們需要注意兩個地方，

1、common name for this ca 

這里的名稱其實和之后要申請的公共名稱沒有太大關聯，我們可以自己命名，因為這個只是給我們要安裝的CA起的一個可識別的名稱而已，沒有實際含義。所以這里

我寫的是ca01，請大家不要和申請SSL或者發布OWA時所輸入的公共名稱相混淆。

2、Validity period

這個是安裝的CA機構可正常運行的期限，即自安裝日起5年內可以正常處理各種類型的證書的申請請求。當然你也可以手動更改，在右側會出現相應的過期日期。

輸入根CA的名稱后，點擊【Next】，經過一個很簡短的過程之后，出現以下圖示：

我們可以設置CA證書的數據庫以及日志的存放路徑，一般默認即可，點擊【Next】繼續，此時會彈出一個提示窗口，如下圖示：

意思是，要完成CA的安裝，需要臨時停止IIS服務器，由于我這里IIS上沒有運行web，所以可以直接點YES，這點請留意。

確定后，就開始自動安裝CA組件了。

安裝過程中，如果你沒有事先啟用IIS6里的ASP的話，就會出現下面的提示，此時只需確定即可。

經過大概1、2分鐘的安裝過程后，CA組件順序安裝完畢。

點擊Finish完成整個過程。

二、查看CA

CA已安裝，但在哪里查看呢？別急，我們可以通過2個辦法來實現

1、可以依次點擊 開始/程序/管理工具/Certification Authority

2、也可以在命令窗口內輸入certsrv.msc,確定后直接打開CA

2種方法效果都是一樣的，我們選用第二種方法。

下面是打開的主界面

這里我們可以看到ca01這個名稱，熟悉嗎？ 對了，這就是我們在申請CA的時候輸入的CA機構的名稱，請記住，這僅僅是一個名稱，對以后申請各類應用型的證書沒有任何影響。

下面5個文件夾分別是【吊銷的證書】、【已頒發的證書】、【掛起的請求】、【失敗的請求】、【證書模板】，這里不做細述，以后用到的時候再講，其實很簡單。

     在這里我想和大家討論的一個概念，就是“根證書”。其實當我們把CA機構創建完畢后，它的基本功能就是它將為其他應用程序或者服務器等頒發及管理證書，在安裝完畢后，它會給自己頒發一個證書，也就是root certificate 根證書，而且是自己信任自己的，那在哪里查看呢？？？

右鍵ca01，選擇【屬性】，如下圖：

我們可以很清晰的看到有一個certificate #0的證書，這就是ca01這個CA頒發機構的根證書。點擊右下角的View Certificate ，可以查看根證書的詳細屬性。

【常規】選項卡，這里可以看到很簡要的信息，比如頒發者ca01，頒發給ca01，也就是自己給自己頒發，很簡單，它是根CA，也是該網絡里的第一臺CA證書服務器，只能自己給自己頒發一個根證書，為什么要這么做呢？原因有兩點，1、它是最高級別的CA  2、為后面申請的CA證書提供認證。

【詳細信息】選項卡，這里不但可以查看證書的一些基本信息，包括證書版本，生效日期，以及失效日期，還有算法及加密信息等。

右下角有一個 copy to file，我們可以利用這個選項將根證書導出為3種不同的格式，我會在后面的教程中說到。

【證書路徑】選項卡，這里顯示的是證書體系的邏輯結構，因為我現在只有根證書，所以也只能看到自己了。

OK，關于CA安裝的圖文詳解先寫到這里，后面還會有相關的文章，盡請期待！

To be continued ..

轉自：http://jeffyyko.blog.51cto.com/28563/140518