CA證書服務器（5） 架設企業根CA

在上篇博文中提到，安全技術主要是經過證書來實現的，好比咱們能夠爲Web服務器申請證書，以實現安全通訊。證書能夠向一些知名的商業CA申請，但這要繳納不菲的費用，若是咱們的網站只是在企業內部或一些合做單位之間使用，那麼就能夠本身架設CA來頒發證書。下面咱們就來搭建這樣一臺CA證書服務器。

在複雜的認證體系中，CA分爲不一樣的層次，其中根CA是CA信任體系結構的最高級，它通常負責整個CA體系的管理，爲下屬的子級CA簽發並管理證書，而不直接爲用戶簽發證書。根如下的各級CA都稱爲子級CA，負責本轄區的安全，並直接爲用戶頒發和管理證書。

在Windows Server 2008 R2系統中搭建CA服務器時，能夠將服務器配置成企業根CA、企業子級CA、獨立根CA、獨立子級CA四種類型，其中企業CA要求AD服務，即CA服務器必須處於域環境，而獨立CA則沒有要求。企業CA和獨立CA的主要區別見下圖：

在咱們的實驗環境中只架設一臺企業根CA，直接用它來爲用戶發放證書。

因爲CA服務的負載並不大，於是沒有必要單獨佔用一臺服務器，咱們這裏將它部署在以前已經搭建好的額外域控制器（IP：192.168.1.2）上。

以域管理員的身份登陸額外域控制器，在【服務器管理器】中選擇添加「Active Directory證書服務」角色。

除了默認的證書頒發機構外，還須要安裝「證書頒發機構Web註冊」組件，並在跳出的界面中單擊「添加所需的角色服務」按鈕來安裝IIS角色，以便讓用戶能夠利用瀏覽器來申請證書。

CA安裝類型選擇「企業」。企業根CA發放證書的對象僅限於域用戶。

CA類型選擇「根CA」。

在「設置私鑰」中選擇「新建私鑰」，此爲CA的私鑰，CA必須擁有私鑰後才能夠發放證書。

採用默認的私鑰建立方法，加密算法使用的是RSA，密鑰長度2048位，哈希算法（消息摘要算法）採用的是SHA1。

CA名稱採用默認值。

CA有效期默認爲5年。

證書數據庫存放位置採用默認值，Web服務器選擇角色服務中採用默認值，最終確認無誤後開始安裝。

完成安裝後，可經過【管理工具】中的【證書頒發機構】來管理CA。

Active Directory域會經過組策略來讓域內的全部計算機來自動信任根CA，也就是自動將企業根CA的證書安裝到客戶端計算機。因爲這條組策略是在「計算機配置」中設置的，於是客戶端計算機須要重啓才能應用。

將客戶端計算機重啓以後，以普通域用戶的身份登陸，打開IE瀏覽器的「Internet選項」，能夠看到咱們剛纔安裝的企業根CA已經自動被加入到了「受信任的根證書頒發機構」中去。

此時在客戶端打開瀏覽器，輸入CA服務器的URL「http://192.168.1.2/certsrv/」，便可以打開證書申請頁面，如圖所示。（在訪問時須要輸入用戶名和密碼，輸入任意一個域用戶帳戶便可。）

注意，若是客戶端沒法正常打開CA的證書申請頁面，那麼能夠經過如下兩項操做來解決問題：一是將客戶端的IE ESC功能關閉；二是推動用域名的形式訪問CA，如http://ca.coolpen.net/certsrv,在2008的域環境中使用UNC路徑或URL時，好像對IP支持的不夠好，而使用域名則不多出問題。