CA证书服务器（5） 架设企业根CA

在上篇博文中提到，安全技术主要是通过证书来实现的，比如我们可以为Web服务器申请证书，以实现安全通信。证书可以向一些知名的商业CA申请，但这要缴纳不菲的费用，如果我们的网站只是在企业内部或一些合作单位之间使用，那么就可以自己架设CA来颁发证书。下面我们就来搭建这样一台CA证书服务器。

在复杂的认证体系中，CA分为不同的层次，其中根CA是CA信任体系结构的最高级，它一般负责整个CA体系的管理，为下属的子级CA签发并管理证书，而不直接为用户签发证书。根以下的各级CA都称为子级CA，负责本辖区的安全，并直接为用户颁发和管理证书。

在Windows Server 2008 R2系统中搭建CA服务器时，可以将服务器配置成企业根CA、企业子级CA、独立根CA、独立子级CA四种类型，其中企业CA要求AD服务，即CA服务器必须处于域环境，而独立CA则没有要求。企业CA和独立CA的主要区别见下图：

在我们的实验环境中只架设一台企业根CA，直接用它来为用户发放证书。

由于CA服务的负载并不大，因而没有必要单独占用一台服务器，我们这里将它部署在之前已经搭建好的额外域控制器（IP：192.168.1.2）上。

以域管理员的身份登录额外域控制器，在【服务器管理器】中选择添加“Active Directory证书服务”角色。

除了默认的证书颁发机构外，还需要安装“证书颁发机构Web注册”组件，并在跳出的界面中单击“添加所需的角色服务”按钮来安装IIS角色，以便让用户可以利用浏览器来申请证书。

CA安装类型选择“企业”。企业根CA发放证书的对象仅限于域用户。

CA类型选择“根CA”。

在“设置私钥”中选择“新建私钥”，此为CA的私钥，CA必须拥有私钥后才可以发放证书。

采用默认的私钥创建方法，加密算法使用的是RSA，密钥长度2048位，哈希算法（消息摘要算法）采用的是SHA1。

CA名称采用默认值。

CA有效期默认为5年。

证书数据库存放位置采用默认值，Web服务器选择角色服务中采用默认值，最终确认无误后开始安装。

完成安装后，可通过【管理工具】中的【证书颁发机构】来管理CA。

Active Directory域会通过组策略来让域内的所有计算机来自动信任根CA，也就是自动将企业根CA的证书安装到客户端计算机。由于这条组策略是在“计算机配置”中设置的，因而客户端计算机需要重启才能应用。

将客户端计算机重启之后，以普通域用户的身份登录，打开IE浏览器的“Internet选项”，可以看到我们刚才安装的企业根CA已经自动被加入到了“受信任的根证书颁发机构”中去。

此时在客户端打开浏览器，输入CA服务器的URL“http://192.168.1.2/certsrv/”，即可以打开证书申请页面，如图所示。（在访问时需要输入用户名和密码，输入任意一个域用户账户即可。）

注意，如果客户端无法正常打开CA的证书申请页面，那么可以通过以下两项操作来解决问题：一是将客户端的IE ESC功能关闭；二是推进用域名的形式访问CA，如http://ca.coolpen.net/certsrv,在2008的域环境中使用UNC路径或URL时，好像对IP支持的不够好，而使用域名则很少出问题。