下载文档原格式
Ca配置全过程生成证书申请CRS文件A,在W AS(采集服务器)安装机上,找到ikeyman工具(c:\IBM\WebSphere\AppServer\bin)B,运行ikeyman,在菜单中选择“创建数据库文件”,格式选择“jks”,密码“xxx”,路经为“c:\key”,文件名“xxx.jks”C,创建证书请求:密钥标号“YN”,密钥大小“1024”,公共名称: “YN”,组织: “YN”,组织单位: “YN”,市、县、区:“KUNMING”,省、直辖市: “YUNNAN”邮政编码:“650031”,国家:“CN”,文件名“xxx.arm”1,发送请求文件到RA中心签名A,发送“xxx.arm”到RA中心(制证处)B,从电子政务接受签名证书,xxx.cer,根证书YUNNAN CA.cer,YUNNAN ROOT CA.cer 导入签名证书A,在W AS(采集服务器)安装机上,运行ikeyman,打开key数据库“xxx.jks”B,选择“个人证书”,选择“接收”,选择“xxx.cer”C,导入签名证书配置WAS的sslA,登陆W AS(采集服务器)的控制台,https://127.0.0.1:9043/ibm/console,用户名sa, 密码xxx B,选择“安全性”,选择“ssl”,选择“新建”,配置ssl在导航树中,选择安全==>SSL单击新建一个SSL配置指定一个别名,例如W ASServerSSL指定连接为SSL指定密钥文件,密码;信任文件,密码点击运用,屏幕上端选择保存C,使用ikeyman,创建一个数据库文件“xxx_trust.jks”,导入“xxx.cer”,供ssl信任数据库使用D,服务器中,选择“application”,选择“server1”,选择“传输数据链路”,选择“443”端口,把SSL的配置信息修改为上面的SSL配置在导航树中,选择服务器==>运用服务器服务器列表中选择:server1在属性下选择:web容器,选择HTTP传输链路选择运用的https server(443),选择ssl配置,更改ssl的配置为WASServerSSL,点击运用,屏幕上端选择保存E,重起W AS,验证SSL已生效配置JAVA运用证书,(JAVA程序需要使用HTTPS,所以需要配置证书)A,copy 证书“xxx.cer”到c:\IBM\WebSphere\AppServer\java\jre\bin下B,导入证书在c:\IBM\WebSphere\AppServer\java\jre\bin执行:keytool -import -v -trustcacerts -storepass changeit -keypass changeit -alias xxx_certs -file xxx.cer -keystore c:\IBM\WebSphere\AppServer\java\jre\lib\security\cacerts如果证书名“xxx_certs”存在删除之Keytool –delete –storepass changeit -keypass changeit -alias xxx_certsC,增加证书IP DNS编辑C:\WINDOWS\system32\drivers\etc\HOSTS文件增加一行纪录: 172.16.20.199 YN (名称为证书的CN)配置tomcat的sslA,在tomcat目录下,conf目录下,编辑server.xml文件B,打开8443配置,例如<Connectorport="8443" minProcessors="5" maxProcessors="75"enableLookups="false"acceptCount="100" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="c:\ xxx.jks " keystorePass=" xxx">C,重起tomcat,测试8443端口keystoreFile="c:\ yngzw.jks " keystorePass=" yunnanguoziwei ">IE客户端配置导入根证书YUNNAN CA.cer,YUNNAN ROOT CA.cer,依次双击证书文件,按提示,选择“下一步”。
windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思:如果你要访问这个网站,你必须通过认证之后,才有资格访问这个网站,平常是不能访问这个网站的,这个网站的安全性能提高很多。
第一部分:加装步骤一、安装证书服装器用一个证书的服务器去颁授证书,然后再采用这个证书。
ca的公用名称:windows2021a二、要在配置的网站上申请证书(草稿)找出我们布局的网站的名称:myweb,右击“属性”-“目录安全性”-“服务器证书”,回去提出申请一个证书。
“新建一个证书”,在国家时“必须挑选cn中国“,下面省市:江苏省,邳州市,最后必须分解成一个申请的文件,一般文件名叫:certreg.txt这样一个文件。
相当于一个申请书。
三、正式宣布向证书机构回去提出申请一个证书(正式宣布提出申请)local本地host是主机:localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。
1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件:certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。
5。
提交之后才正式申请开始,等着颁发证书。
四、颁授证书到“证书颁发机构”-选择\挂起的申请“,找到这个申请之后,右击”任务“颁发”这就相当于颁发一个正常的证书了。
2、查阅挂上的证书提出申请的状态,如果存有一个,就浏览这个证书:用base64这个类型的证书,把这个证书留存起至c:\\certnew.cer这样一个崭新证书。
六、使用这个证书来完成ca服务器的配置。
右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”,把刚才下载到c:\\certnew.cer这样一个证书用上就可以了。
七、采用ssl(安全地下通道)功能去出访网页方法是:右击“myweb\这个网站,选择“属性”“目录安全性”在“安全通信中的编辑”中,选择“要求安全通道”和”要求客户端的证书“。
ca证书服务器工作原理
CA(Certificate Authority)证书服务器是一种用于管理和颁发
数字证书的服务器,其工作原理如下:
1. 申请证书:用户向CA证书服务器提交数字证书申请请求。
申请包括用户的公钥、个人身份信息等。
2. 身份验证:CA证书服务器对用户的身份进行验证,以确保
用户的合法性和真实性。
常见的验证方式包括邮件验证、电话验证和面对面验证等。
3. 证书生成:经过身份验证的用户,CA证书服务器会生成一
份数字证书,其中包括用户的公钥、个人身份信息和证书的有效期等。
4. 私钥签名:CA证书服务器使用自己的私钥对生成的数字证
书进行签名,以保证证书的完整性和真实性。
5. 证书发布:CA证书服务器将签名后的数字证书发送给用户,以便用户在使用数字证书时进行验证。
6. 证书更新:数字证书有一定的有效期,过期后需要进行更新。
用户可以向CA证书服务器申请证书更新,CA证书服务器会
重新签发新的数字证书。
7. 证书验证:在使用数字证书进行身份验证时,验证方需要获取证书的公钥,并使用CA证书服务器的公钥对数字证书进行
验证,以确保证书的真实性和完整性。
总结起来,CA证书服务器的工作原理主要包括申请证书、身份验证、证书生成、私钥签名、证书发布、证书更新和证书验证等步骤。
通过CA证书服务器,用户可以获取到具有可信任性的数字证书,以确保在网络通信和数据传输中的安全性和可信度。
windows环境下独立根ca的安装和使用实验原理在Windows环境下安装和使用独立根CA的实验原理如下:1. 安装独立根CA:- 首先,在Windows服务器上运行“Server Manager”并选择“添加角色和功能”。
- 在安装类型中选择“基于角色或基于功能的安装”。
- 选择要安装根CA的服务器并选择“下一步”。
- 在“功能”窗口中,选择“证书服务”并点击“下一步”。
- 在“证书服务”窗口中,选择“认证机构的Web注册界面”和“证书框架”。
- 完成安装过程,等待安装完成。
2. 配置独立根CA:- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。
- 右键点击“证书颁发机构”并选择“全部任务”->“配置CA”。
- 在“设置CA角色”窗口中选择“独立根CA”并点击“下一步”。
- 配置CA名称和保存路径,并点击“下一步”。
- 设置CA的公共密钥长度并点击“下一步”。
- 选择“创建根凭据并指定名称”并输入凭据名称。
- 配置完成后,点击“下一步”并等待配置完成。
3. 使用独立根CA颁发证书:- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。
- 右键点击“证书颁发机构”并选择“全部任务”->“请求新证书”。
- 在“证书颁发机构策略”窗口中选择“Web服务器”和“合规性”选项。
- 输入要安装的证书请求文件的位置并点击“下一步”。
- 在“证书颁发机构证书安装向导”中,点击“下一步”直到完成安装。
- 颁发证书后,可以在“Server Manager”中查看已颁发的证书。
原理:通过安装和配置独立根CA,可以在Windows环境中建立一个独立的证书颁发机构。
独立根CA可以用于颁发和管理数字证书,以进行身份验证和加密通信。
安装和配置后,可以通过Web界面或其他管理工具颁发证书并在系统中使用。
这样,用户就可以在Windows环境中建立一个自己的独立证书颁发机构,以满足特定安全需求。
WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA(Certificate Authority)是一种权威的证书颁发机构,负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。
数字证书是一种用于验证实体身份的电子文档,可用于确保通信的安全性和完整性。
本文将详细介绍Windows CA证书服务器的配置方法,帮助您完成证书颁发的整个流程。
二、配置步骤1、安装证书服务在Windows服务器上安装证书服务,可以打开“服务器管理器”,然后从“角色”页面选择“添加角色”。
在“角色”对话框中,选择“证书”,然后按照向导完成安装。
2、创建根CA在安装完证书服务后,需要创建一个根CA。
在“服务器管理器”中,打开“证书”并选择“根CA”。
在“根CA”对话框中,输入CA的名称和其他相关信息,然后按照向导完成创建。
3、配置颁发机构策略在创建完根CA后,需要配置颁发机构策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“策略”选项卡,然后根据需要进行配置。
例如,可以设置证书的有效期、设置证书的主题和其他相关信息等。
4、配置申请策略在配置完颁发机构策略后,需要配置申请策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请”选项卡,然后根据需要进行配置。
例如,可以设置申请者的身份验证方法和证书模板等。
5、接受申请当有用户或设备需要申请数字证书时,需要在证书服务器上接受申请。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请队列”选项卡,然后双击需要处理的申请。
在“处理申请”对话框中,选择处理方式(例如自动批准或手动批准),然后按照向导完成处理。
6、颁发证书在处理完申请后,需要颁发数字证书。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“已颁发的证书”选项卡,然后双击需要颁发的证书。
CA工作原理
数字安全证书利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥), 用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开, 为一组用户所共享, 用于加密和验证签名。
当发送一份保密文件时, 发送方使用接收方的公钥对数据加密, 而接收方则使用自己的私钥解密, 这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程, 即只有用私有密钥才能解密。
在公开密钥密码体制中, 常用的一种是RSA体制。
其数学原理是将一个大数分解成两个质数的乘积, 加密和解密用的是两个不同的密钥。
即使已知明文、密文和加密密钥(公开密钥), 想要推导出解密密钥(私密密钥), 在计算上是不可能的。
按现在的计算机技术水平, 要破解目前采用的1024位RSA密钥, 需要上千年的计算时间。
公开密钥技术解决了密钥发布的管理问题, 商户可以公开其公开密钥, 而保留其私有密钥。
购物者可以用人人皆知的公开密钥对发送的信息进行加密, 安全地传送以商户, 然后由商户用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理, 由于密钥仅为本人所有, 这样就产生了别人无法生成的文件, 也就形成了数字签名。
采用数字签名, 能够确认以下两点:
(1) 保证信息是由签名者自己签名发送的, 签名者不能否认或难以否认;
(2) 保证信息自签发后到收到为止未曾作过任何修改, 签发的文件是真实文件。
CA(证书颁发机构)配置概述图解过程一.CA(证书颁发机构)配置概述由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。
CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。
证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。
证书主要有三大功能:加密、签名、身份验证。
这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。
CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。
在windows系统中,我们可以构建4种CA:企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA 和独立从属CA。
安装CA:通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。
(在这里注意:安装证书服务前先安装IIS)申请证书:CA服务装好以后就可以直接申请证书了,申请证书有两种方法:通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。
在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入[url]http://ca[/url]服务器的IP地址或者计算机名/certsrv即可。
然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。
使用证书:我们可以自己架设一个最简单的POP3服务器,来实现邮件服务。
现在假设lily要向lucy发送一封加密和签名电子邮件,在lily这边的outlook中选择工具--帐户--邮件,选择lily的帐户,再单击属性--安全,选择证书就可以了。
C A服务器配置原理与图
解过程
SANY GROUP system office room 【SANYUA16H-
CA(证书颁发机构)配置概述图解过程
一.CA(证书颁发机构)配置概述
由于现在安全问题日益严重,为了保证数据传输的机密性,交易者双方身份的确定性等问题,我们需要采用一种安全机制来实现这些功能,在这里我们来探讨以下PKI体系中的“证书”,也就是如何来构建一个CA的环境来保证安全性。
CA(证书颁发机构)主要负责证书的颁发、管理以及归档和吊销,我们可以把证书认为是我们开车需要使用的驾驶执照。
证书内包含了拥有证书者的姓名、地址、电子邮件帐号、公钥、证书有效期、发放证书的CA、CA的数字签名等信息。
证书主要有三大功能:加密、签名、身份验证。
这里不在具体阐述加密相关知识,这里主要讨论如何来实现CA的环境。
CA的架构是一种层次结构的部署模式,分为“根CA”和“从属CA”:“根CA”位于此架构中的最上层,一般它是被用来发放证书给其他的CA(从属CA)。
在windows系统中,我们可以构建4种CA:企业根CA和企业从属CA(这两种CA只能在域环境中);独立根CA和独立从属CA。
安装CA:通过控制面板--添加删除程序--添加删除windows组件--证书服务,在安装过程中选择安装的CA类型,再这里我们选择独立根CA,输入CA名称以及设置有效期限,完成向导即可。
(在这里注意:安装证书服务前先安装IIS)申请证书:CA服务装好以后就可以直接申请证书了,申请证书有两种方法:通过MMC控制台(此方法只适用于企业根CA和企业从属CA)和通过WEB浏览器。
在这里我们只能选择WEB浏览器的方式,找到一台客户端计算机,在IE浏览器中输入服务器的IP地址或者计算机名/certsrv即可。
然后选择申请新证书,选择证书的类型,输入正确的信息,即可获得证书。
使用证书:我们可以自己架设一个最简单的POP3服务器,来实现邮件服务。
现在假设lily要向lucy发送一封加密和签名电子邮件,在lily这边的outlook中选择工具--帐户--邮件,选择lily的帐户,再单击属性--安全,选择证书就可以了。
在lucy处做同样的操作。
二.证书服务器图解过程试验拓扑:
试验内容以及拓扑说明:
试验内容:独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明:图中server1担任独立根CA服务器,server2担任独立从属CA服务器,另外三台客户机,分别为client1、client2和client3.
试验配置过程:
第一步:构建独立根CA服务器,我需要先安装IIS(证书服务安装过程中会在IIS的默认网站中写入虚拟目录,如果没有IIS的话,无法通过web浏览器的方式申请证书),然后再安装证书服务,配置过程如下:
安装完成后,如图:
证书服务的安装过程:
再由CA服务器的管理员手工颁发证书,打开证书服务器server1,选择管理工具---证书颁发机构,颁发证书:
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看。
