建立企業證書伺服器

地方的小蝦發表於2022-02-19

一、證照

如何幫助構築正確的證照,確保企業使用者訪問過程是安全可信的? 因此這裡首先需要了解什麼是證照鏈。 



1.    最上層為root,也就是通常所說的CA,用來給WEB伺服器等簽發證照,後期需要透過證照伺服器的網站來簽發證照;

2.    最下層為end-user,可以手動儲存企業證照或者是內建作業系統內;

3.    中間一層為WEB伺服器,使用CA簽發的證照來提供對外服務;

二、證照驗證過程

瀏覽器接收到伺服器證照後,如何驗證證照合法?首先最頂級的CA證照也稱為根證照(自簽名證照),一般頂級根證照都是由瀏覽器內建在發行包, 或者內建在作業系統的發行包。EndUser 瀏覽器接收到伺服器證照後,會根據證照中包含的簽發CA機構資訊,找到對應CA機構的CA證照,用它對證照的簽名進行驗證,同時還會驗證證照繫結的域名,證照的有效期,以及證照的使用範圍等等, 如果驗證失敗,則會報錯並顯示一個錯誤頁面,提醒使用者正在訪問的網站是個高危不安全的網站,有些瀏覽器還允許手工新增例外。 

WEB伺服器提供HTTPS服務則 需要啟用證照,需要找CA機構申請證照。通常向CA機構傳送一個證照請求檔案CSR(Certificate Signing Request),這個檔案和正式的證照主要差別是沒有簽名,主要包含你是誰(Subject)和公鑰等資訊。 CA機構收到請求後,需要核實申請人的資訊,核實無誤後,就會用自己的私鑰給待申請的證照籤名,簽名和證照的公鑰以及Subject等資訊一起打包(X.509格式)後,就是一張合法的證照。 WEB 伺服器拿到證照後,就可以把這張證照和對應的私鑰一起部署到自己的伺服器上並啟用HTTPS,瀏覽器發出HTTPS請求的時候,服務端就會把這張合法的證照推送給瀏覽器,瀏覽器接收後會進行一系列的校驗。 

三、 中間證照

各個頂級CA機構的根證照都內建在瀏覽器或者作業系統的發行包中,這些根證照當然可以使用來給客戶簽發證照請求,但實際中很少有CA機構這麼幹,原因在於如果某個根證照有問題,比如私鑰洩露,基本上是災難性的, 對應的CA根證照很快就會被各大瀏覽器和作業系統廠商移除,所以絕大部分的頂級CA機構會用自己的根證照私鑰簽署一些二級(或多級)CA證照,然後用這些二級(或多級)CA證照的私鑰給客戶簽發證照請求, 當某個二(多)級CA證照出么蛾子的時候,只要把該二(多)級證照吊銷就可以,波及面也不會那麼大。以下就是一個二級證照的例子

建立企業證書伺服器

四、部署企業根CA證照 

⚠️注意:這裡部署的企業根證照並不會內建在作業系統或瀏覽器中,需要在每個EndUser匯入根證照檔案

這裡介紹如何在Windows 伺服器中建設根證照,以便於後期其他的應用系統能夠申請證照來使用。

1.       新增AD 域內伺服器Cert01 的角色和功能;

2.       勾選證照頒發機構和頒發機構WEB 註冊選項;( 增加了註冊策略)

3.       角色服務選擇預設即可;

4.       等待安裝完成;

5.       在伺服器管理中看到尚未對證照服務進行配置,點選進入配置;

6.       點選下一步;

7.       勾選證照伺服器機構和證照web 註冊選項;

8.       選擇企業CA 證照型別,如下:

9.       選擇企業CA 根證照;

10.    建立證照私鑰,由於CA 根需要儲存私鑰,因此需要建立一個新的私鑰來保證安全;

11.    選擇加密證照私鑰;

12.    輸入證照CA 名稱,為了便於記憶,這裡按照域的名稱輸入名稱,如下;

13.    設定私鑰的使用有效年限,3 年;

14.    指定證照的本地庫;

15.    選擇CEP 身份驗證型別;

16.    伺服器證照,由於尚未安裝任何ssl 證照,這裡選擇證照並稍後SSL 分配;

17.    確認安裝;

18.    驗證安裝結果成功;

19.    在伺服器管理器中,選擇繼續配置AD 域的證照伺服器‘

20.    繼續增加證照註冊WEB 服務;

21.    選擇證照註冊WEB 服務的CA 證照,這裡看到證照是第十二步生成證照名;

22.    身份驗證選擇;

23.    增加域使用者administrator 與到本地的IIS_IUSRS 組中,然後制定改使用者;

注:這裡需要在控制皮膚使用者管理裡增加域使用者到本地的IIS 組中;

24.    此時選擇伺服器證照(第16 步我們曾經忽略);

25.    確認配置

26.    證照伺服器安裝完成;





來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70014111/viewspace-2856473/,如需轉載,請註明出處,否則將追究法律責任。

相關文章