Windows Server下独立根CA的安装及使用（超详细）

简介

CA

CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。在SET交易中，CA不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。

CA是证书的签发机构，它是公钥基础设施的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

CA也拥有用户的证书（内含公钥）和私钥。网上的公众用户通过验证CA的签名从而信任CA，任何人都可以得到CA的证书（含公钥），用以验证CA所签发的证书。

用户若欲获取证书，应先向CA提出申请，CA判明申请者的身份后，为之分配一个公钥，并将该公钥与其身份信息绑定，为该整体签名，签名后的整体即为证书，发还给申请者。

证书

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前，证书的格式和验证方法普遍遵循X.509国际标准。

加密：CA认证将文字转换成不能直接阅读的形式（即密文）的过程称为加密。
解密：将密文转换成能够直接阅读的文字（即明文）的过程称为解密。
如打算在电子文档上实现签名的目的，可使用数字签名。RSA公钥体制可实现对数字信息的数字签名，方法如下：

信息发送者用其私钥对从所传报文中提取出的特征数据（或称数字指纹）进行RSA算法操作，以保证发信人无法抵赖曾发过该信息（即不可抵赖性），同时也确保信息报文在传递过程中未被篡改（即完整性）。当信息接收者收到报文后，就可以用发送者的公钥对数字签名进行验证。

在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数（HASH函数）生成的。对这些HASH函数的特殊要求是：

1. 接受的输入报文数据没有长度限制；
2.对任何输入报文数据生成固定长度的摘要（数字指纹）输出； 
3.从报文能方便地算出摘要；
4.难以对指定的摘要生成一个报文，而由该报文可以算出该指定的摘要；
5.两个不同的报文难以生成具有相同的摘要。

                                 ——维基百科

安装及使用步骤

独立根CA的安装

在Windows server 2003中，选择【开始】->【控制面板】->【添加和删除程序】命令
在弹出的菜单中选择【添加和删除Windows组件】,在组件列表中选择【证书服务】，再单击【下一步】

在弹出的窗口中，选择【独立根CA】，单击【下一步】

在弹出的窗口中按要求填写信息，填写完成后，点击【下一步】

选择【证书数据库】、【证书数据库日志】和配置信息的存放路径，填完后，单击【下一步】

完成安装
若安装过程中需要选择安装源，则插入Windows server 2003的安装光盘，或在虚拟机上加载server 2003的ISO文件即可

选择【开始】->【程序】->【管理工具】，若可以找到【证书颁发机构】，则说明安装成功

通过Web页面申请证书

在客户机中申请证书，这里以Windows XP作为客户机申请证书，在Windows XP中打开IE浏览器，输入

http://CA服务器的IP/certsrv

出现如下界面

若没有出现此界面，或无法加载，则很有可能是没有在Windows server 2003服务器中安装IIS服务，安装即可正常访问

在此界面选择 申请一个证书 选项，在弹出的页面中选择【web浏览器证书】

在弹出的页面中填写相关信息，完成后提交。此时IE浏览器采用默认的加密算法生成公钥对，私钥保存在本地计算机中，公钥和用户信息发给CA服务器
提交后，弹出提示框，单击【是】

客户端证书申请完成，等待CA服务器管理员颁发申请的证书

证书发布

在根CA服务器（Windows server 2003）上，选择【开始】->【程序】->【管理工具】->【证书颁发机构】

在打开的窗口中选择【挂起的申请】，客户端申请的证书便会出现在窗口的右侧
右击刚才在客户端申请的证书，选择【所有任务】->【颁发】，进行证书的颁发
颁发完成后，证书将转到【颁发的证书】文件夹中

证书的下载和安装

在客户端（Windows XP）打开IE浏览器，输入

http://CA服务器IP/certsrv

进入证书申请界面。点击【查看挂起的证书申请状态】
在弹出的页面中选择申请的证书
如果CA服务器端证书颁发机构已颁发证书，则会弹出如下界面

单击【安装此证书】，系统弹出提示框，单击【是】

弹出安全警告，单击【是】

证书安装完成

接下来验证此CA颁发的证书是否可信任，为此需要安装CA系统的根证书，在IE浏览器中输入

http://CA服务器IP/certsrv

点击【下载一个证书】

选择当前的CA证书下载，并保存到合适的路径
下载完成后，在保存目录中查看证书信息，然后单击【安装证书】，进行证书导入，单击【下一步】
选择证书存储位置，这里选择自动选择，单击【下一步】
点击【完成 】，证书导入成功

本次实验使用的系统都很旧，大家也可以尝试使用最新的Windows sever 服务器 和Windows客户端进行实验。