『壹』 伺服器證書和ca證書區別
伺服器證書是用來保護數據加密傳輸的證書,CA證書 是證書鏈證書,為了方便客戶端驗證伺服器證書的有效性和給伺服器證書提供兼容性的證書
『貳』 2008伺服器怎麼搭建證書服務
添加證書伺服器角色
12008和2003系統不同,每一個服務對應一個伺服器角色。首先打開伺服器管理器(或者通過我的電腦---管理進入也行)
2008伺服器怎麼搭建證書服務
2點擊伺服器管理器---角色----添加角色 服務,勾選active directory 證書服務
2008伺服器怎麼搭建證書服務
3接著進入證書服務添加向導,點擊 下一步
4設置角色服務組件,根據需要來設置勾選相關組件。如果要用於web伺服器證書申請,建議全部勾選
配置部署 證書伺服器
1對於沒有域環境安裝的話,只能選擇獨立證書服務(域環境安裝請選擇 企業)
2如果是第一個證書伺服器請選擇 CA
3私鑰模式,選擇默認的,下一步
4這里設置ca證書加密的位數,默認是2048位如果需要更搞級別或其他類型,請在對話框中選擇
5對於域環境下面的ca伺服器,請輸入完整的FQDN名 (既後面帶域名後綴)
6設置證書有效期
公網購買的證書一般也是按照年來計算的。由於很多加密技術不斷更新為了安全很多證書都是1年更新一次
7創建證書配置資料庫,這里選擇默認的就行
8設置好之後,安裝證書伺服器。(根據提示剛剛設置的伺服器名安裝好之後就不能修改了,所以安裝證書之前最好先設置好一個好記的伺服器名)
9以上都是配置ca的過程,點擊開始安裝才進入證書伺服器安裝部署階段
10隊列保障證書伺服器的安全性,建議伺服器操作系統windows自動更新設置為啟動狀態
怎麼查看管理證書伺服器
1打開證書伺服器,直接到伺服器管理器---角色管理裡面可以看到
22008系統搭建的證書伺服器不是域環境的話。企業PRI是用不了的
『叄』 可以自己建立 SSL 證書用在自己的伺服器上嗎
可以自己建立SSL證書用在自己的伺服器上,這種證書也叫自簽名SSL證書,就是自己給自己頒發的,出於網站安全考慮,不建議使用這種SSL證書,因為它有很多缺點:
第一、被「有心者」利用。
其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發,那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性,分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上,讓訪客們分不清孰真孰假。
第二、瀏覽器會彈出警告,易遭受攻擊
前面有提到自簽名SSL證書是不受瀏覽器信任的,即使網站安裝了自簽名SSL證書,當用戶訪問時瀏覽器還是會持續彈出警告,讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的,所以CA是無法識別簽名者並且不會信任它,因此私鑰也形同虛設,網站的安全性會大大降低,從而給攻擊者可乘之機。
第三、安裝容易,吊銷難
自簽名SSL證書是沒有可訪問的吊銷列表的,所以它不具備讓瀏覽器實時查驗證書的狀態,一旦證書丟失或者被盜而無法吊銷,就很有可能被用於非法用途從而讓用戶蒙受損失。同時,瀏覽器還會發出「吊銷列表不可用,是否繼續?」的警告,不僅降低了網頁的瀏覽速度,還大大降低了訪問者對網站的信任度。
第四、超長有效期,時間越長越容易被破解
自簽名SSL證書的有效期特別長,短則幾年,長則幾十年,想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年,因為時間越長,就越有可能被黑客破解。所以超長有效期是它的一個弊端。
『肆』 如何生成CA證書
創建根證書密鑰文件(自己做CA)root.key:
創建根證書的申請文件root.csr:
創建一個自當前日期起為期十年的根證書root.crt:
創建伺服器證書密鑰server.key:
創建伺服器證書的申請文件server.csr
創建自當前日期起有效期為期兩年的伺服器證書server.crt
創建客戶端證書密鑰文件client.key
創建客戶端證書的申請文件client.csr
創建一個自當前日期起有效期為兩年的客戶端證書client.crt
將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx
保存生成的文件備用,其中server.crt和server.key是配置單向SSL時需要使用的證書文件,client.crt是配置雙向SSL時需要使用的證書文件,client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面,把2個文件合成了一個.pem文件(直接拷貝過去就行了)
『伍』 ca證書和伺服器證書區別
一般的CA證書,可以直接在WINDOWS上生成。通過點對點原理,實現數據的傳輸加密和身份核內實功能。CA伺服器證書,是容必須安裝在伺服器中,由伺服器的軟硬體信息生成的CSR文件,通過在微軟和全球webTrust證書聯盟的備份和核實後,生成的CA證書。網站能在IE瀏覽器上直接顯示「安全鎖」,和顯示證書信息。高級的版本能在瀏覽器地址欄變綠色,是目前全球最有效果的身份核實、信息加密工具。 CA證書的生成簡單免費,而CA伺服器證書成本較高,一般在5000-20000元/年,所以需要此服務的企業或機構以金融類行業為首。如果企業需要CA伺服器證書來杜絕釣魚網站的侵害,可以選擇安信保認證標識,它集成了伺服器證書服務。是目前看到最便宜的了,比較適合企業使用。
『陸』 如何為自己的VPS伺服器安裝一個免費的CA證書
貌似安裝ssl證書,也需要先安裝CA證書,景安有免費SSL證書,你可以去問問他們客服。
『柒』 怎麼自己生成SSL證書並且在伺服器里配置
不起作用,並不會被瀏覽器信任,反而增加了很多不安全因素。
創建自簽名證書的步驟
注意:以下步驟僅用於配置內部使用或測試需要的SSL證書。
第1步:生成私鑰
使用openssl工具生成一個RSA私鑰
$ openssl genrsa -des3 -out server.key 2048
說明:生成rsa私鑰,des3演算法,2048位強度,server.key是秘鑰文件名。
注意:生成私鑰,需要提供一個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之後,便可以創建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發送給證書頒發機構(CA),CA驗證過請求者的身份之後,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:
$ openssl req -new -key server.key -out server.csr
說明:需要依次輸入國家,地區,城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持一致,否則會引起瀏覽器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:刪除私鑰中的密碼
在第1步創建私鑰的過程中,由於必須要指定一個密碼。而這個密碼會帶來一個副作用,那就是在每次Apache啟動Web伺服器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自簽名證書
如果你不想花錢讓CA簽名,或者只是測試SSL的具體實現。那麼,現在便可以著手生成一個自簽名的證書了。
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如伺服器認證,客戶端認證,或者簽署其他證書。當系統收到一份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,並且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統就自動信任新的證書。
第5步:安裝私鑰和證書
將私鑰和證書文件復制到Apache的配置目錄下即可,在Mac 10.10系統中,復制到/etc/apache2/目錄中即可。
需要注意的是,在使用自簽名證書時,瀏覽器會提示證書不受信任,如果你是對外網站使用,建議還是去CA機構申請可信的SSL證書。
『捌』 證書伺服器
既然你已經把實驗都做了,說明整個過程的數據流向應該清楚了:用戶產生版證書請求權(請求中包括公鑰)->RA->CA->RA->用戶的USBKEY或其它證書存儲區(如IE)。
現在的數字證書管理都是按照此PKI體系。
客戶端負責產生證書請求,產生證書請求時,USBKEY(或IE)會生產公私鑰對,並將公鑰封裝在證書請求中
RA接到用戶的請求(包括用戶信息和證書請求),對此用戶的合法法進行驗證(可以人工也可自動),驗證通過就把請求(含公鑰)發給CA
CA只負責根據請求簽發證書(證書中會包括CA證書對證書信息的數字簽名),並返回給RA。
RA獲得到生產的證書,並通過腳本將證書安裝到客戶端的USBKEY(或IE)中。
可能的拓撲:
根CA
CA
RA1 RA2
用戶1用戶2用戶3
『玖』 什麼是ca伺服器及其作用
你說的CA伺服器應該是指CA認證機構的機房的伺服器,或者是企業自建CA的伺服器,你先看看下面的文章,有什麼不明白的可以再提問~~
為保證網上數字信息的傳輸安全,除了在通信傳輸中採用更強的加密演算法等措施之外,必須建立一種信任及信任驗證機制,即參加電子商務的各方必須有一個可以被驗證的標識,這就是數字證書。數字證書是各實體(持卡人/個人、商戶/企業、網關/銀行等)在網上信息交流及商務交易活動中的身份證明。該數字證書具有唯一性。它將實體的公開密鑰同實體本身聯系在一起,為實現這一目的,必須使數字證書符合X.509國際標准,同時數字證書的來源必須是可靠的。這就意味著應有一個網上各方都信任的機構,專門負責數字證書的發放和管理,確保網上信息的安全,這個機構就是CA認證機構。各級CA認證機構的存在組成了整個電子商務的信任鏈。如果CA機構不安全或發放的數字證書不具有權威性、公正性和可信賴性,電子商務就根本無從談起。
數字證書認證中心(Certficate Authority,CA)是整個網上電子交易安全的關鍵環節。它主要負責產生、分配並管理所有參與網上交易的實體所需的身份認證數字證書。每一份數字證書都與上一級的數字簽名證書相關聯,最終通過安全鏈追溯到一個已知的並被廣泛認為是安全、權威、足以信賴的機構--根認證中心(根CA)。
電子交易的各方都必須擁有合法的身份,即由數字證書認證中心機構(CA)簽發的數字證書,在交易的各個環節,交易的各方都需檢驗對方數字證書的有效性,從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴格的加密技術和認證程序。基於其牢固的安全機制,CA應用可擴大到一切有安全要求的網上數據傳輸服務。
數字證書認證解決了網上交易和結算中的安全問題,其中包括建立電子商務各主體之間的信任關系,即建立安全認證體系(CA);選擇安全標准(如SET、SSL);採用高強度的加、解密技術。其中安全認證體系的建立是關鍵,它決定了網上交易和結算能否安全進行,因此,數字證書認證中心機構的建立對電子商務的開展具有非常重要的意義。
認證中心(CA),是電子商務體系中的核心環節,是電子交易中信賴的基礎。它通過自身的注冊審核體系,檢查核實進行證書申請的用戶身份和各項相關信息,使網上交易的用戶屬性客觀真實性與證書的真實性一致。認證中心作為權威的、可信賴的、公正的第三方機構,專門負責發放並管理所有參與網上交易的實體所需的數字證書。