windows AC認證服務器

PKI/CA 主要由最終用戶、認證中心和註冊機構來組成。

PKI/CA 的工做原理就是經過發放和維護數字證書來創建一套信任網絡，在同一信任網絡中的用戶經過申請到的數字證書來完成身份認證和安全處理。

一個認證中心是以它爲信任源，由她維護必定範圍的信任體系在該信任體系中的全部用戶、服務器，都被髮放一張數字證書來證實其身份已經被鑑定過，併爲其發放一張數字證書，每次在進行交易的時候，經過互相檢查對方的數字證書便可判別是不是本信任域中的可信體。

註冊中心負責審覈證書申請者的真實身份在審覈經過後，負責將用戶信息經過網絡上傳到認證中心，由認證中心負責最後的制證處理；總的來講，認證中心是面向各註冊中心的，而註冊中心是面向最終用戶的，註冊機構是用戶與認證中心的中間渠道。

數字證書可用於：發送安全電子郵件、訪問安全站點、網上證券交易、網上招標採購、網上辦公、網上保險、網上稅務、網上籤約和網上銀行等安全電子事務處理和安全電子交易活動。

數字證書綁定了公鑰及其持有者的真實身份，它相似於現實生活中的居民***，所不一樣的是數字證書再也不是紙質的證照，而是一段含有證書持有者身份信息並通過認證中心審覈簽發的電子數據，能夠更加方便靈活地運用在電子商務和電子政務中。

數字證書頒發過程通常爲：用戶首先產生本身的密鑰對，並將公共密鑰及部分我的身份信息傳送給認證中心。認證中心在覈實身份後，將執行一些必要的步驟，以確信請求確實由用戶發送而來，而後，認證中心將發給用戶一個數字證書，該證書內包含用戶的我的信息和他的公鑰信息，同時還附有認證中心的簽名信息。用戶就可使用本身的數字證書進行相關的各類活動。數字證書由獨立的證書發行機構發佈。數字證書各不相同，每種證書可提供不一樣級別的可信度。能夠從證書發行機構得到您本身的數字證書。

工做原理

數字證書採用公鑰體制，即利用一對互相匹配的密鑰進行加密、解密。每一個用戶本身設定一把特定的僅爲本人所知的私有密鑰（私鑰），用它進行解密和簽名；同時設定一把公共密鑰（公鑰）並由本人公開，爲一組用戶所共享，用於加密和驗證簽名。當發送一份保密文件時，發送方使用接收方的公鑰對數據加密，而接收方則使用本身的私鑰解密，這樣信息就能夠安全無誤地到達目的地了。經過數字的手段保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。在公開密鑰密碼體制中，經常使用的一種是RSA體制。其數學原理是將一個大數分解成兩個質數的乘積，加密和解密用的是兩個不一樣的密鑰。即便已知明文、密文和加密密鑰（公開密鑰），想要推導出解密密鑰（私密密鑰），在計算上是不可能的。按如今的計算機技術水平，要破解目前採用的1024位RSA密鑰，須要上千年的計算時間。公開密鑰技術解決了密鑰發佈的管理問題，商戶能夠公開其公開密鑰，而保留其私有密鑰。購物者能夠用人人皆知的公開密鑰對發送的信息進行加密，安全地傳送給商戶，而後由商戶用本身的私有密鑰進行解密。

數字簽名工做原理：

將報文按雙方約定的HASH算法計算獲得一個固定位數的報文摘要。在數學上保證：只要改動報文中任何一位，從新計算出的報文摘要值就會與原先的值不相符。這樣就保證了報文的不可更改性。

將該報文摘要值用發送者的私人密鑰加密，而後連同原報文一塊兒發送給接收者，而產生的報文即稱數字簽名。

接收方收到數字簽名後，用一樣的HASH算法對原報文計算出報文摘要值，而後與用發送者的公開密鑰對數字簽名進行解密解開的報文摘要值相比較。如相等則說明報文確實來自所稱的發送者。

那爲何是對報文摘要進行加密，而不是對原報文進行加密呢？這是由於非對稱加密算法(即RSA算法）很是耗時，被加密的報文越大，耗得時間越多，所以聰明的人類對其摘要進行加密，（由於報文摘要是要比原報文小得多），仍然可以起到一樣的做用。這是爲何多了個報文摘要。

網絡身份證(VIEID)

全稱：(Virtual identity electronic identification)虛擬身份電子標識

用戶也能夠採用本身的私鑰對信息加以處理，因爲密鑰僅爲本人全部，這樣就產生了別人沒法生成的文件，也就造成了數字簽名。採用數字簽名，可以確認如下兩點：

保證信息是由簽名者本身簽名發送的，簽名者不可否認或難以否定

保證信息自簽發後到收到爲止不曾做過任何修改，簽發的文件是真實文件

AC證書主要是知足兩個設備間通訊的加密做用。例如：IIS和客戶端之間經過HTTPS通訊；

實施的步驟以下：

1.在AD中安裝AC認證服務器（證書頒發機構）

在AD中選擇添加角色，詳細略。

2.客戶端和服務器都去信任證書頒發機構；把AC認證服務器中的根證書導出，然後分別導入兩臺主機中。

導出根證書：

 把證書分別導入兩臺主機中：

3.在IIS服務器上去申請證書，並把證書綁定到相應的IIS網站中。

只有信任了證書頒發機構，該服務器才能夠去申請相應的證書

信任證書頒發機構方式：

1. AC安裝在域控中，服務器主機加入了域環境中，只需重啓設備就能夠信任證書頒發機構。

2. AC服務器安裝在成員服務器中，須要下載根證書，而後經過域策略推下去

3. 不在域環境中的，經過手動導入根證書，使其信任證書頒發機構

證書頒發機構web註冊

1. 證書頒發機構web註冊主機再也不AD上，須要進入AD選擇該主機分配委派。

證書申請批准

進入AC服務器：增強證書頒發的安全性

多域名證書

www.test.com 和win2008_iis.test.com 對應地址192.168.0.6的IIS服務器。

1.建立證書模板

2.添加要頒發的證書模板

3.  IIS服務器中申請新的證書

證書頒發機構不能開啓審批

4.       綁定到相應的站點

 

委派管理

委派用戶或者組去頒發和管理證書

1. 添加用戶或組

經過「證書管理器」近一步限制證書管理員的權限

註冊代理（讓客戶端能夠替其餘用戶註冊證書）

環境：win7客戶端，AD(AC)服務器

1. 在證書頒發機構服務器上，先添加代理證書模板

2. 進入win7客戶端，先申請」代理認證證書「，而後使用該證書爲其餘用戶申請證書

「代理認證證書」的當前客戶端

選擇剛剛申請的」代理證書「

證書的自動註冊

環境DC服務器（AC），成員服務器作驗證

1. 在AC上配置相應的模板

2. 使用組策略部署,然後在成員服務器上刷新組策略進行驗證

   
   

審覈

環境：一臺DC服務器，同時是AC服務器

審覈的主要做用是，經過日誌去查看證書頒發機構服務器的狀態信息。

1. 先經過組策略開啓相應的審覈功能

2. 經過配置AC服務器的審覈項目

密鑰恢復代理

1. 先使用域管理員申請「密鑰恢復代理」證書

1. 再申請一個普通的證書，而後刪除。然後經過相應的命令進行恢復

CA的歸納：自身證書的問題；驗證證書請求者的身份；向用戶、計算機和服務器