搭建一台证书服务器
搬运来源: https://zhuanlan.zhihu.com/p/371237795
搭建证书服务器
因为本次我们要搭建证书服务器,所以我们需要从以下几个方面来了解一下什么是加密,以及什么是KPI以及KPI的特点和组成。
- PKI概述:公钥基础设施(Public Key Infrastructure,简称PKI)是通过使用公钥技术和数字签名来确保信息安全,并负责验证数字证书持有者身份的一种技术。
- PKI的组成:PKI由公钥加密技术、数字证书、认证机构(CA)、注册机构(RA)等共同组成:
-公钥加密技术为PKI体系提供加密算法。
-数字证书用于用户的身份验证。
-认证机构(CA)是PKI的核心,负责管理PKI中所有用户(包括各种应用程序)的数字证书的生成、分发、验证和撤销。
-注册机构(RA)接受用户的请求,负责将用户的有关申请信息存档备案,存储在数据库中,等待审核,并将审核通过的证书请求发送给证书颁发机构。RA分担了CA的部分任务,使管理变得更方便。
- PKI的特点:
-身份验证:确认用户的身份标识。
-数据完整性:确保数据在传输过程中没有被修改。
-数据机密性:防止非授权用户获取数据。
-操作的不可否认性:确保用户不能冒充其他用户的身份。
- 什么是公钥加密技术:
公钥加密技术是PKI的基础,这种技术需要两种密钥:公钥(Public Key)和私钥(Private Key)。
公钥和私钥的关系如下:
-公钥和私钥是成对生成的,这两个密钥互不相同,可以互相加密和解密。
-公钥对外公开,私钥只有私钥的持有人才知道。
-不能通过公钥推算出私钥。
5.常见的加密算法有:
因为公钥加密技术使用两个不同的密钥进行加密、解密,所以公钥加密技术也被称为非对称加密技术。与非对称加密技术相对应的,还有一种对称加密技术,对称加密技术使用同一个密钥进行加密、解密
对称加密算法
-DES、3DES、TDEA、Blowfish、RC5、IDEA等
非对称加密算法(公钥加密)
-RSA、Elgamal、背包算法、Rabin、D-H、ECC等
6.什么是数字证书:
数字证书是一种权威性的电子文档,由权威公正的第三方机构,即CA中心签发的证书。它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传输信息的机密性、完整性。
通常,数字证书包括以下信息。
-使用者的公钥。
-使用者的标识信息(如名称和电子邮件地址)。
-有效期(证书的有效时间)。
-颁发者的标识信息。
-颁发者的数字签名,用来证明使用者的公钥和使用者的标识信息之间的绑定关系是否有效。
- 什么是CA:
CA的核心功能就是颁发和管理数字证书,具体描述如下。
-处理证书申请。
-鉴定申请者是否有资格接收证书。
-证书的发放,即向申请者颁发或拒绝颁发数字证书。
-证书的更新,即接收、处理最终用户的数字证书更新请求。
-接收最终用户数字证书的查询、撤销。
-产生和发布证书吊销列表(CRL)。
-数字证书的归档。
-密钥归档。
-历史数据归档。
首先我们开始搭建证书服务器(本次我们使用的是win2012服务器和主机)。我们需要把win2012的防火墙关掉。
然后我们需要把win2012调到跟主机同一个IP段,这里用主机ping win2012使他们能够互相通信。
接着打开服务器管理器,点击添加角色与功能
然后下一步,直到找到Active Directory证书服务,打上前面括号里的对号
继续下一步,直到角色这快,打上证书注册web服务前面括号里的对号,然后下一步,直到安装。
安装完成以后,先不要关闭这个窗口,点击配置目标服务器上的Active Directory证书服务这行青色的字体。
等待一会打开一个AD CS配置的窗口,我们不要动它的默认配置,下一步,把角色服务里的证书办法机构和证书颁发机构web注册都打上勾
这里选择独立CA
继续选择根CA
选择创建新的私钥
这里的加密算法提供程序我们选择默认的,加密算法我们都可以随便选的,这里我们选择的SHA1
然后默认下一步,选择默认的证书指定有效期
下一步,选择默认的数据库位置
最后点击配置,完成AD CS配置
我们可以打开服务器管理右上角的工具选择IIS管理器
依次点击下面红色箭头所指的小三角型,直到显示出来CertSrv这个目录
然后打开主机的浏览器,在浏览器上面搜索192.168.43.187/certsrv,然后浏览器上就会显示出证书服务。
然后回到win2012里的IIS管理器里面,找到服务器证书然后打开。
点击创建证书申请
然后会让我们填写一些信息,这里我们通用名称需要填一个域名,因为我们没有域名,所以这里我们填的是我们IP,然后剩下的随便填就可以了。
然后默认下一步,接着给这个证书选择一个文件名,这里我们写的是1.txt
然后完成就可以了,接着在桌面上找到这个1.txt的文本,复制里面的内容,然后把它复制到主机上面打开的那个浏览器地址里面,选择申请证书,提交一个高级证书申请,
把文本里的东西复制到框里面
点击提交
回到win2012里面,打开服务器管理里面的工具里面的证书颁发机构。
打开以后找到挂起的申请,然后右键点击所有任务,同意颁发
然后我们回到主机浏览器,点击下载CA证书
把下载好的证书拉回win2012里面
然后打开IIS管理器,点击Defaulf Web Site
点击绑定,选择添加,然后选择添加https站点
把证书导入进去,然后确定,https的网站就搭建好了