您的当前位置:首页CA证书管理

CA证书管理

2023-09-24 来源:乌哈旅游
CA的架设与证书的管理

阶段一

一、实验目的

CA服务器为客户端提供CA证书服务

二、实验环境

1、在一台windows server 2008 r2 操作系统上安装DNS服务器并兼CA服务器,主机名为king1

King1配置为IP:192.168.1.250、NDS:192.168.1.250、网关:192.168.1.254

2、客户端为XP系统,配置为IP:192.168.1.1、NDS:192.168.1.250、网关:192.168.1.254

三、安装ADCS与架设根CA

1、选择“角色”,然后选择“添加角色”勾选“Active Directory证书服务”,然后点击下一步

2、勾选界面中的“证书颁发机构Web注册”,出现“添加角色向导”界面,点击“添加所需要的角色服务”

3、完成后点击下一步

注意要点:

(1)工作组环境只能选择独立CA,不能选择企业CA

(2)AD域环境下,企业CA和独立CA都能选择

(3)如果网络中没有根CA,一定要先安装根CA

创建CA根

4、私钥要创建新的,因为没有旧的

5、加密,选择默认的加密程序及算法

秘钥长度,越长加密越强,但效率越低

6、填写一个CA公用名称,此处填写的是robin-CA,域环境下需要填写可分辨名称后缀

7、根证书默认时长为5年

8、路径可以更改,此处默认

9、点击安装后选择下一把步

10、安装完成后显示的界面

四、根证书的申请以及客户端信任CA设置

1、在客户端浏览器上输入www.robi.com/certsrv或IP地址:192.168.1.250/certsrv来进行访问,然后选择页面中的“下载CA证书、证书链或CRL(证书吊销列表)”

2、在win7或R2中,会因为IE阻止此站点以不安全的方式使用ActiveX控件导致网页显示不正确,以至于不能直接选择安装此CA的证书链。因此需要下载证书或证书链。

我们这里点击“下载CA证书链”。

3、默认证书或证书链的名字为“certnew.p7b”,这里保存到桌面

4、保存效果如下图

5、右键单击安装证书

5、指定放入存储区,点击下一步

6、下一步完成后直到导入证书成功

7、在客户端Internet选项上点击--内容--证书,可以查看到已经安装到root-CA的证书

五、证书的管理

1、CA证书的备份与还原

(1)备份操作

设置一个强密码

备份完成

(2)还原操作

还原完成

2、管理证书模板

非域环境,显示不了,这里略

企业CA提供了许多其他模板,需要先开启,用户才可申请。——右键新建

3、自动或手动发放证书

点击CA服务器点击属性,找到策略模块点击属性

属性中第一项选择为手动指定发放,第二项为自动发放

4、吊销证书与CRL

(1)吊销证书

(2)CRL

(3)客户端如何得知哪些证书已被吊销

下载证书吊销列表即可,但CA要先发布CRL,发布的方式有两种

1、自动发布——默认每隔1周发布一次CRL

2、手动发布

4、客户端从CRL分发点下载 CRL:

(1)自动下载

勾选检查发行商的证书吊销和检查服务器证书吊销

(2)手动下载

利用浏览器连接到CA,然后选择“下载最新的基CRL”或“下载最新的增量CRL,”然后单击打开,保存或/安装,或通过UNC路径连接到共享文件夹,“%Systemroot\\Systemroot32\\Certsrv\\CertEnroll”(CA将发布的CRL存储到此共享文件夹,共享名CertEnroll),右键选择CRL或CRL增量文件安装。

5、导出与到导入用户的证书

(1)利用IE浏览器导入导出证书

(2)利用证书管理单元导入导出证书

导出成功后然后测试导出,电子邮件箱福利CA申请电子邮件保护证书时,申请到的证书无法导出私钥,必须通过单击高级证书来申请,才可以导出私钥

选择文件即可

6、续订证书

阶段二

1、实验目的:实现电子邮件保护证书

2、环境设置:在阶段一环境的基础上,新增一台邮件服务器为king2,实现robin.com和king.com不同域之间发送邮件加密与数字签名的实验

King2配置为IP:192.168.1.251、NDS:192.168.1.250、网关:192.168.1.254

环境设置说明:

在DNS服务器上新建两个不同的域robin.com和king.com,

192.168.1.250指向king1,192.168.1.251指向king2服务器

并创建mail主机记录和邮件交换记录MX

在king1和king2上安装邮件服务器软件

Robin.com域中存在一个dou用户,king.com域中存在一个king用户

3、实验步骤:

(一)客户端申请证书

1、只有在域成员计算机上才可以利用“证书申请向导”来向企业根CA申请证书,独立根CA的话请用浏览器来申请证书,独立根CA的话请用浏览器来申请证书。我们先让客户端信任根CA

点击下载CA证书、证书链或CRL

选择下载CA证书链

下载完成后将其安装到一下位置:

(二)将IE浏览器的本地Internet的安全级别降为低

(四)将CA网站加入本地interanet

(五)客户端申请证书邮件

选择申请证书

高级申请

创建并向此CA提交一个申请

(六)证书颁发

在证书服务器界面颁发证书给用户

客户端查看挂起的证书,点击并安装

King用户申请过程同上

可以查看到客户端申请到的邮件证书

(七)邮件证书数字签名测试

在客户端若发现邮件不能发送,服务器错误553,要进行设置服务器要求验证

点击选择项——工具——账户——邮件——属性

添加账户

Dou用户发送签名文件给king用户,并点击右侧的签名按钮

测试成功

(八)邮件证书加密测试

king用户发送加密文件给dou用户

因篇幅问题不能全部显示,请点此查看更多更全内容