证书服务器部署

证书服务器部署

概述​

SSL证书一种提供SSL协议的证书，通过在客户端浏览器与WEB服务器之间建立一条SSL安全通道，对网络传输数据进行加密，防止数据被截取。一份SSL证书包括一个公共密钥和一个私用密钥：公共密钥主要用于信息加密，私用密钥主要用于解译加密信息。当浏览器指向一个安全域时，SSL协议会同步确认客户端和服务器，并在两者之间建立一种加密方式和一个唯一的会话密钥，这样便可保证通话双方信息的完整性和保密性。​

证书服务器部署​

证书服务的安装​

证书服务器的配置​

证书申请​

证书服务器的高级配置​

修改服务器级别颁发的证书有效期及自定义模板​

由证书颁发机构 (CA) 所颁发的每一张证书都具有有效期限，默认情况下，我们从企业根CA申请到的证书，有效期限都是2年；企业根据自身情况往往是需要更长久的有效期，可根据下面进行部署。​

调整CRL发布期及访问方式​

默认情况下，CRL证书吊销列表通过LDAP方式访问，但此方式域网络之外是无法访问的，为了让内外都能访问，并简化部署，建议把CRL分发点设置成通过HTTP方式访问，并发布到外网，实现内外统一访问。​

创建EFS恢复代理​

有个别用户会使用EFS加密，但由于不了解相关知识，没有意识到备份自己的证书与私钥，导致重装系统后原来EFS文件再也不能打开（重装系统后私钥和证书都被删除了，虽然公钥在证书颁发机构有，但私钥如前面原理所说，他是只保存在用户电脑上的）。作为一种救援手段，管理员需要提前创建至少一个EFS恢复代理；​

其他角色服务​

联机响应程序​

PKI包含了多个组件，包括证书，证书吊销列表（certificate revocation lists）和证书颁发机构（certification authorities）。大多数情况，当应用程序需要认证，签名或者做加密操作时，需要确定证书的状态。证书状态和吊销检查主要依靠两个手段来确认：时间。证书在过期前都会被认为是有效的，直到系统时间超过过期时间，或者在过期之前已经被吊销。吊销状态。证书可以在过期之前被吊销，当密钥泄露或其他原因需要吊销证书时，管理员可以对证书吊销。确认吊销状态有多种手段，如CRLs，增量CRLs和在线证书状态协议（Online Certificate Status Protocol）。而联机响应程序使用的正是在线证书状态协议。OCSP相对CRLs，适合实时性要求较高的场合，查询数据量小，能缓解CA的带宽压力。下面就来介绍如何使用微软Active Directory Certificate Service实现OCSP。​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。