WindowsServer 项目实 *** （4）CA证书

证书和CA的区别？

CA证书颁发机构：是Windows Server中自带的服务，安装CA服务器成为证书服务器，CA可以颁发证书。

证书：证书服务器生成的一个文件（工具），使用此文件（工具）可以实现加密等功能。

一般来说，推荐去供应商买证书，这样可以全网认，如果是自己颁发的证书，基本只能在DC中使用！
CA证书部署

———————————————————————————————————————

实战：使用CA证书加密网站

1新建一个indexhtml网站

2申请证书

把证书存储到桌面，方便等会申请

打开证书申请网站 >PKI （Public Key Infrastructure ）公开密钥基础设施，是利用公开密钥技术所构建的，解决网络安全问题的，普遍适用的一种基础设施; 是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

PKI既不是一个协议，也不是一个软件，它是一个标准，在这个标准之下发展出的为了实现安全基础服务目的的技术统称为PKI。PKI通过传播数字证书来保证安全，于是认证中心CA就变成了PKI的核心。

认证中心CA(Certificate Authority) 是一个负责发放和管理数字证书的第三方权威机构，它负责管理PKI结构下的所有用户(包括各种应用程序)的证书，把用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份。CA机构的数字签名使得攻击者不能伪造和篡改证书。

认证中心主要有以下5个功能：

证书的颁发：接收、验证用户(包括下级认证中心和最终用户)的数字证书的申请。可以受理或拒绝

证书的更新：认证中心可以定期更新所有用户的证书，或者根据用户的请求来更新用户的证书

证书的查询：查询当前用户证书申请处理过程；查询用户证书的颁发信息，这类查询由目录服务器ldap来完成

证书的作废：由于用户私钥泄密等原因，需要向认证中心提出证书作废的请求；证书已经过了有效期，认证中心自动将该证书作废。认证中心通过维护证书作废列表 (Certificate Revocation List,CRL) 来完成上述功能。

证书的归档：证书具有一定的有效期，证书过了有效期之后就将作废，但是我们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易过程中产生的数字签名，这时我们就需要查询作废的证书。

PKI的标准规定了PKI的设计、实施和运营，规定了PKI各种角色的”游戏规则”，提供数据语法和语义的共同约定。PKI体系中有很多SSL证书格式标准。

其中最为人熟知的有x509和PKCS#12（pfx, p12为证书后缀）

1 证书版本号(Version)

版本号指明X509证书的格式版本，现在的值可以为: 0:v1， 1:v2， 2:v3

2 证书序列号(Serial Number)

序列号指定由CA分配给证书的唯一的"数字型标识符"。当证书被取消时，实际上是将此证书的序列号放入由CA签发的证书废除列表CRL(Certificate revocation lists 证书黑名单)中，

3 签名算法标识符(Signature Algorithm)

签名算法标识用来指定由CA签发证书时所使用的"签名算法"。算法标识符用来指定CA签发证书时所使用的公开密钥算法或hash算法

4 签发机构名(Issuer)

此域用来标识签发证书的CA的X500DN(DN-Distinguished Name)名字。包括:

1) 国家(C) 2) 省市(ST) 3) 地区(L) 4) 组织机构(O) 5) 单位部门(OU) 6) 通用名(CN) 7) 邮箱地址

5 有效期(Validity)

指定证书的有效期，包括:

1) 证书开始生效的日期时间 2) 证书失效的日期和时间

每次使用证书时，需要检查证书是否在有效期内。

6 证书用户名(Subject)

指定证书持有者的X500唯一名字。包括:

同签发机构名(Issuer)中的条目

7 证书持有者公开密钥信息(Subject Public KeyInfo)

证书持有者公开密钥信息域包含两个重要信息:

1) 证书持有者的公开密钥的值 2) 公开密钥使用的算法标识符。此标识符包含公开密钥算法和hash算法。

8 扩展项(extension)

X509V3证书是在v2的基础上一标准形式或普通形式增加了扩展项，以使证书能够附带额外信息。

9 签发者唯一标识符(Issuer Unique Identifier)

签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X500名字用于多个认证机构时，用一比特字符串来唯一标识签发者的X500名字。可选。

10 证书持有者唯一标识符(Subject Unique Identifier)

持有证书者唯一标识符在第2版的标准中加入X509证书定义。此域用在当同一个X500名字用于多个证书持有者时，用一比特字符串来唯一标识证书持有者的X500名字。可选。

11 签名算法(Signature Algorithm)

证书签发机构对证书上述内容的签名算法

12 签名值(Issuer's Signature)

证书签发机构对证书上述内容的签名值

证书案例

一般的CA证书，可以直接在WINDOWS上生成。通过点对点原理，实现数据的传输加密和身份核实功能。

服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球webTrust证书联盟的备份和核实后，生成的CA证书。网站能在IE浏览器上直接显示“安全锁”，和显示证书信息。高级的版本能在浏览器地址栏变绿色，是目前全球最有效果的身份核实、信息加密工具。

服务器证书和CA证书是否一样

本质上是一样的，只是不同的名字。前者是从技术角度命名，后者是从用途角度命名的，都是为网站的机密数据提供加密传输功能，从而确保机密信息的机密性、完整性和不可否认性。

　把它放进你的网址吧 CodeGonet 找到你的内部CA，然后单击export最好的格式是“Base64编码的证书链”
保存在那里你会找到它的位置 现在你`requestGET中（URL，验证=）您也可以访问证书管理方式： （步骤为其他浏览器非常相似）去设置
点击“显示高级设置”，在底部 >

你好！

Windows  2008安装证书教程如下：

1、完成证书自助购买。进入证书管理页面，点击“下载证书”。下载证书压缩包后解压，在线转换为pfx格式文件然后上传。

2、进入IIS管理控制台的服务器证书管理页面，右键选择“导入”

选择您的pfx格式证书备份文件，并输入密钥文件保护密码

请选中“标志此密钥为可导出”，否则有些情况可能会无法完成证书安装。

3配置服务器证书选中需要配置证书的站点，并选择右侧“编辑站点”下的“绑定”选中您刚才安装的服务器证书文件

配置默认的>

以上就是Windows  2008安装证书安装教程了，希望能帮助到你。

这里有一份Windows  2008安装证书安装图文详解你可以参考下网页链接

1、首先我们输入图示网址访问CA服务器。

2、输入服务器的账户密码登陆，申请证书。

3、然后我们选择“高级证书申请”。

4、注意，这里不要选择base64编码这个，要选择创建并向CA申请。

5、然后我们输入相关信息提交申请。

6、然后我们登陆到证书服务器，颁发证书。

7、然后我们找到申请的证书，点击进去，选择“安装此证书”。

8、然后我们安装证书，至此证书申请完成即可。

---