『壹』 服务器证书和ca证书区别
服务器证书是用来保护数据加密传输的证书,CA证书 是证书链证书,为了方便客户端验证服务器证书的有效性和给服务器证书提供兼容性的证书
『贰』 2008服务器怎么搭建证书服务
添加证书服务器角色
12008和2003系统不同,每一个服务对应一个服务器角色。首先打开服务器管理器(或者通过我的电脑---管理进入也行)
2008服务器怎么搭建证书服务
2点击服务器管理器---角色----添加角色 服务,勾选active directory 证书服务
2008服务器怎么搭建证书服务
3接着进入证书服务添加向导,点击 下一步
4设置角色服务组件,根据需要来设置勾选相关组件。如果要用于web服务器证书申请,建议全部勾选
配置部署 证书服务器
1对于没有域环境安装的话,只能选择独立证书服务(域环境安装请选择 企业)
2如果是第一个证书服务器请选择 CA
3私钥模式,选择默认的,下一步
4这里设置ca证书加密的位数,默认是2048位如果需要更搞级别或其他类型,请在对话框中选择
5对于域环境下面的ca服务器,请输入完整的FQDN名 (既后面带域名后缀)
6设置证书有效期
公网购买的证书一般也是按照年来计算的。由于很多加密技术不断更新为了安全很多证书都是1年更新一次
7创建证书配置数据库,这里选择默认的就行
8设置好之后,安装证书服务器。(根据提示刚刚设置的服务器名安装好之后就不能修改了,所以安装证书之前最好先设置好一个好记的服务器名)
9以上都是配置ca的过程,点击开始安装才进入证书服务器安装部署阶段
10队列保障证书服务器的安全性,建议服务器操作系统windows自动更新设置为启动状态
怎么查看管理证书服务器
1打开证书服务器,直接到服务器管理器---角色管理里面可以看到
22008系统搭建的证书服务器不是域环境的话。企业PRI是用不了的
『叁』 可以自己建立 SSL 证书用在自己的服务器上吗
可以自己建立SSL证书用在自己的服务器上,这种证书也叫自签名SSL证书,就是自己给自己颁发的,出于网站安全考虑,不建议使用这种SSL证书,因为它有很多缺点:
第一、被“有心者”利用。
其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假。
第二、浏览器会弹出警告,易遭受攻击
前面有提到自签名SSL证书是不受浏览器信任的,即使网站安装了自签名SSL证书,当用户访问时浏览器还是会持续弹出警告,让用户体验度大大降低。因它不是由CA进行验证签发的,所以CA是无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,从而给攻击者可乘之机。
第三、安装容易,吊销难
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
第四、超长有效期,时间越长越容易被破解
自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。
『肆』 如何生成CA证书
创建根证书密钥文件(自己做CA)root.key:
创建根证书的申请文件root.csr:
创建一个自当前日期起为期十年的根证书root.crt:
创建服务器证书密钥server.key:
创建服务器证书的申请文件server.csr
创建自当前日期起有效期为期两年的服务器证书server.crt
创建客户端证书密钥文件client.key
创建客户端证书的申请文件client.csr
创建一个自当前日期起有效期为两年的客户端证书client.crt
将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx
保存生成的文件备用,其中server.crt和server.key是配置单向SSL时需要使用的证书文件,client.crt是配置双向SSL时需要使用的证书文件,client.pfx是配置双向SSL时需要客户端安装的证书文件 .crt文件和.key可以合到一个文件里面,把2个文件合成了一个.pem文件(直接拷贝过去就行了)
『伍』 ca证书和服务器证书区别
一般的CA证书,可以直接在WINDOWS上生成。通过点对点原理,实现数据的传输加密和身份核内实功能。CA服务器证书,是容必须安装在服务器中,由服务器的软硬件信息生成的CSR文件,通过在微软和全球webTrust证书联盟的备份和核实后,生成的CA证书。网站能在IE浏览器上直接显示“安全锁”,和显示证书信息。高级的版本能在浏览器地址栏变绿色,是目前全球最有效果的身份核实、信息加密工具。 CA证书的生成简单免费,而CA服务器证书成本较高,一般在5000-20000元/年,所以需要此服务的企业或机构以金融类行业为首。如果企业需要CA服务器证书来杜绝钓鱼网站的侵害,可以选择安信保认证标识,它集成了服务器证书服务。是目前看到最便宜的了,比较适合企业使用。
『陆』 如何为自己的VPS服务器安装一个免费的CA证书
貌似安装ssl证书,也需要先安装CA证书,景安有免费SSL证书,你可以去问问他们客服。
『柒』 怎么自己生成SSL证书并且在服务器里配置
不起作用,并不会被浏览器信任,反而增加了很多不安全因素。
创建自签名证书的步骤
注意:以下步骤仅用于配置内部使用或测试需要的SSL证书。
第1步:生成私钥
使用openssl工具生成一个RSA私钥
$ openssl genrsa -des3 -out server.key 2048
说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。
注意:生成私钥,需要提供一个至少4位的密码。
第2步:生成CSR(证书签名请求)
生成私钥之后,便可以创建csr文件了。
此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书(很贵)。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名,具体操作如下:
$ openssl req -new -key server.key -out server.csr
说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]
第3步:删除私钥中的密码
在第1步创建私钥的过程中,由于必须要指定一个密码。而这个密码会带来一个副作用,那就是在每次Apache启动Web服务器时,都会要求输入密码,这显然非常不方便。要删除私钥中的密码,操作如下:
cp server.key server.key.org
openssl rsa -in server.key.org -out server.key
第4步:生成自签名证书
如果你不想花钱让CA签名,或者只是测试SSL的具体实现。那么,现在便可以着手生成一个自签名的证书了。
$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
说明:crt上有证书持有人的信息,持有人的公钥,以及签署者的签名等信息。当用户安装了证书之后,便意味着信任了这份证书,同时拥有了其中的公钥。证书上会说明用途,例如服务器认证,客户端认证,或者签署其他证书。当系统收到一份新的证书的时候,证书会说明,是由谁签署的。如果这个签署者确实可以签署其他证书,并且收到证书上的签名和签署者的公钥可以对上的时候,系统就自动信任新的证书。
第5步:安装私钥和证书
将私钥和证书文件复制到Apache的配置目录下即可,在Mac 10.10系统中,复制到/etc/apache2/目录中即可。
需要注意的是,在使用自签名证书时,浏览器会提示证书不受信任,如果你是对外网站使用,建议还是去CA机构申请可信的SSL证书。
『捌』 证书服务器
既然你已经把实验都做了,说明整个过程的数据流向应该清楚了:用户产生版证书请求权(请求中包括公钥)->RA->CA->RA->用户的USBKEY或其它证书存储区(如IE)。
现在的数字证书管理都是按照此PKI体系。
客户端负责产生证书请求,产生证书请求时,USBKEY(或IE)会生产公私钥对,并将公钥封装在证书请求中
RA接到用户的请求(包括用户信息和证书请求),对此用户的合法法进行验证(可以人工也可自动),验证通过就把请求(含公钥)发给CA
CA只负责根据请求签发证书(证书中会包括CA证书对证书信息的数字签名),并返回给RA。
RA获得到生产的证书,并通过脚本将证书安装到客户端的USBKEY(或IE)中。
可能的拓扑:
根CA
CA
RA1 RA2
用户1用户2用户3
『玖』 什么是ca服务器及其作用
你说的CA服务器应该是指CA认证机构的机房的服务器,或者是企业自建CA的服务器,你先看看下面的文章,有什么不明白的可以再提问~~
为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心(CA),是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。