建立企業證書伺服器

一、證照

如何幫助構築正確的證照，確保企業使用者訪問過程是安全可信的？ 因此這裡首先需要了解什麼是證照鏈。 

1.    最上層為root，也就是通常所說的CA，用來給WEB伺服器等簽發證照，後期需要通過證照伺服器的網站來簽發證照；

2.    最下層為end-user，可以手動儲存企業證照或者是內建作業系統內；

3.    中間一層為WEB伺服器，使用CA簽發的證照來提供對外服務；

二、證照驗證過程

瀏覽器接收到伺服器證照後，如何驗證證照合法？首先最頂級的CA證照也稱為根證照（自簽名證照），一般頂級根證照都是由瀏覽器內建在發行包， 或者內建在作業系統的發行包。EndUser 瀏覽器接收到伺服器證照後，會根據證照中包含的簽發CA機構資訊，找到對應CA機構的CA證照，用它對證照的簽名進行驗證，同時還會驗證證照繫結的域名，證照的有效期，以及證照的使用範圍等等， 如果驗證失敗，則會報錯並顯示一個錯誤頁面，提醒使用者正在訪問的網站是個高危不安全的網站，有些瀏覽器還允許手工新增例外。 

WEB伺服器提供HTTPS服務則 需要啟用證照，需要找CA機構申請證照。通常向CA機構傳送一個證照請求檔案CSR（Certificate Signing Request)，這個檔案和正式的證照主要差別是沒有簽名，主要包含你是誰(Subject)和公鑰等資訊。 CA機構收到請求後，需要核實申請人的資訊，核實無誤後，就會用自己的私鑰給待申請的證照籤名，簽名和證照的公鑰以及Subject等資訊一起打包（X.509格式）後，就是一張合法的證照。 WEB 伺服器拿到證照後，就可以把這張證照和對應的私鑰一起部署到自己的伺服器上並啟用HTTPS，瀏覽器發出HTTPS請求的時候，服務端就會把這張合法的證照推送給瀏覽器，瀏覽器接收後會進行一系列的校驗。 

三、 中間證照

各個頂級CA機構的根證照都內建在瀏覽器或者作業系統的發行包中，這些根證照當然可以使用來給客戶簽發證照請求，但實際中很少有CA機構這麼幹，原因在於如果某個根證照有問題，比如私鑰洩露，基本上是災難性的， 對應的CA根證照很快就會被各大瀏覽器和作業系統廠商移除，所以絕大部分的頂級CA機構會用自己的根證照私鑰簽署一些二級（或多級）CA證照，然後用這些二級（或多級）CA證照的私鑰給客戶簽發證照請求， 當某個二（多）級CA證照出么蛾子的時候，只要把該二（多）級證照吊銷就可以，波及面也不會那麼大。以下就是一個二級證照的例子

四、部署企業根CA證照 

⚠️注意：這裡部署的企業根證照並不會內建在作業系統或瀏覽器中，需要在每個EndUser匯入根證照檔案

這裡介紹如何在Windows 伺服器中建設根證照，以便於後期其他的應用系統能夠申請證照來使用。

1.       新增AD 域內伺服器Cert01 的角色和功能；

2.       勾選證照頒發機構和頒發機構WEB 註冊選項；( 增加了註冊策略)

3.       角色服務選擇預設即可；

4.       等待安裝完成；

5.       在伺服器管理中看到尚未對證照服務進行配置，點選進入配置；

6.       點選下一步；

7.       勾選證照伺服器機構和證照web 註冊選項；

8.       選擇企業CA 證照型別，如下：

9.       選擇企業CA 根證照；

10.    建立證照私鑰，由於CA 根需要儲存私鑰，因此需要建立一個新的私鑰來保證安全；

11.    選擇加密證照私鑰；

12.    輸入證照CA 名稱，為了便於記憶，這裡按照域的名稱輸入名稱，如下；

13.    設定私鑰的使用有效年限，3 年；

14.    指定證照的本地庫；

15.    選擇CEP 身份驗證型別；

16.    伺服器證照，由於尚未安裝任何ssl 證照，這裡選擇證照並稍後SSL 分配；

17.    確認安裝；

18.    驗證安裝結果成功；

19.    在伺服器管理器中，選擇繼續配置AD 域的證照伺服器‘

20.    繼續增加證照註冊WEB 服務；

21.    選擇證照註冊WEB 服務的CA 證照，這裡看到證照是第十二步生成證照名；

22.    身份驗證選擇；

23.    增加域使用者administrator 與到本地的IIS_IUSRS 組中，然後制定改使用者；

⚠️ 注：這裡需要在控制皮膚使用者管理裡增加域使用者到本地的IIS 組中；

24.    此時選擇伺服器證照（第16 步我們曾經忽略）；

25.    確認配置

26.    證照伺服器安裝完成；