建立企業證書伺服器
一、證照
如何幫助構築正確的證照,確保企業使用者訪問過程是安全可信的? 因此這裡首先需要了解什麼是證照鏈。
1. 最上層為root,也就是通常所說的CA,用來給WEB伺服器等簽發證照,後期需要通過證照伺服器的網站來簽發證照;
2. 最下層為end-user,可以手動儲存企業證照或者是內建作業系統內;
3. 中間一層為WEB伺服器,使用CA簽發的證照來提供對外服務;
二、證照驗證過程
瀏覽器接收到伺服器證照後,如何驗證證照合法?首先最頂級的CA證照也稱為根證照(自簽名證照),一般頂級根證照都是由瀏覽器內建在發行包, 或者內建在作業系統的發行包。EndUser 瀏覽器接收到伺服器證照後,會根據證照中包含的簽發CA機構資訊,找到對應CA機構的CA證照,用它對證照的簽名進行驗證,同時還會驗證證照繫結的域名,證照的有效期,以及證照的使用範圍等等, 如果驗證失敗,則會報錯並顯示一個錯誤頁面,提醒使用者正在訪問的網站是個高危不安全的網站,有些瀏覽器還允許手工新增例外。
WEB伺服器提供HTTPS服務則 需要啟用證照,需要找CA機構申請證照。通常向CA機構傳送一個證照請求檔案CSR(Certificate Signing Request),這個檔案和正式的證照主要差別是沒有簽名,主要包含你是誰(Subject)和公鑰等資訊。 CA機構收到請求後,需要核實申請人的資訊,核實無誤後,就會用自己的私鑰給待申請的證照籤名,簽名和證照的公鑰以及Subject等資訊一起打包(X.509格式)後,就是一張合法的證照。 WEB 伺服器拿到證照後,就可以把這張證照和對應的私鑰一起部署到自己的伺服器上並啟用HTTPS,瀏覽器發出HTTPS請求的時候,服務端就會把這張合法的證照推送給瀏覽器,瀏覽器接收後會進行一系列的校驗。
三、 中間證照
各個頂級CA機構的根證照都內建在瀏覽器或者作業系統的發行包中,這些根證照當然可以使用來給客戶簽發證照請求,但實際中很少有CA機構這麼幹,原因在於如果某個根證照有問題,比如私鑰洩露,基本上是災難性的, 對應的CA根證照很快就會被各大瀏覽器和作業系統廠商移除,所以絕大部分的頂級CA機構會用自己的根證照私鑰簽署一些二級(或多級)CA證照,然後用這些二級(或多級)CA證照的私鑰給客戶簽發證照請求, 當某個二(多)級CA證照出么蛾子的時候,只要把該二(多)級證照吊銷就可以,波及面也不會那麼大。以下就是一個二級證照的例子
四、部署企業根CA證照
⚠️注意:這裡部署的企業根證照並不會內建在作業系統或瀏覽器中,需要在每個EndUser匯入根證照檔案
這裡介紹如何在Windows 伺服器中建設根證照,以便於後期其他的應用系統能夠申請證照來使用。
1. 新增AD 域內伺服器Cert01 的角色和功能;
2. 勾選證照頒發機構和頒發機構WEB 註冊選項;( 增加了註冊策略)
3. 角色服務選擇預設即可;
4. 等待安裝完成;
5. 在伺服器管理中看到尚未對證照服務進行配置,點選進入配置;
6. 點選下一步;
7. 勾選證照伺服器機構和證照web 註冊選項;
8. 選擇企業CA 證照型別,如下:
9. 選擇企業CA 根證照;
10. 建立證照私鑰,由於CA 根需要儲存私鑰,因此需要建立一個新的私鑰來保證安全;
11. 選擇加密證照私鑰;
12. 輸入證照CA 名稱,為了便於記憶,這裡按照域的名稱輸入名稱,如下;
13. 設定私鑰的使用有效年限,3 年;
14. 指定證照的本地庫;
15. 選擇CEP 身份驗證型別;
16. 伺服器證照,由於尚未安裝任何ssl 證照,這裡選擇證照並稍後SSL 分配;
17. 確認安裝;
18. 驗證安裝結果成功;
19. 在伺服器管理器中,選擇繼續配置AD 域的證照伺服器‘
20. 繼續增加證照註冊WEB 服務;
21. 選擇證照註冊WEB 服務的CA 證照,這裡看到證照是第十二步生成證照名;
22. 身份驗證選擇;
23. 增加域使用者administrator 與到本地的IIS_IUSRS 組中,然後制定改使用者;
⚠️ 注:這裡需要在控制皮膚使用者管理裡增加域使用者到本地的IIS 組中;
24. 此時選擇伺服器證照(第16 步我們曾經忽略);
25. 確認配置
26. 證照伺服器安裝完成;
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70014111/viewspace-2856473/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 蘋果企業開發者賬號—如何建立WatchKit 服務證書蘋果
- 建立 測試環境 + 配置伺服器ssl證書伺服器
- 使用OpenSSL建立生成CA證書、伺服器、客戶端證書及金鑰伺服器客戶端
- 建立自簽名根證書-中間證書。
- Windows伺服器SSL證書建立、安裝及配置方法教程Windows伺服器
- 建立並使用https證書HTTP
- 什麼是SLL證書?伺服器證書伺服器
- SSL證書有什麼作用?企業為什麼要安裝SSL證書?
- 基於CFSSL工具建立CA證書,服務端證書,客戶端證書服務端客戶端
- 自己手動建立https證書HTTP
- 招投標企業榮譽證書AAA信用等級證書藍燕首選
- 企業網站應配置怎樣的SSL證書網站
- 蘋果企業簽名:動態庫注入與企業證書重簽名蘋果
- 使用mkcert建立自簽名證書mkcert
- 企業WiFi認證,如何保證企業WiFi安全?WiFi
- linux伺服器配置ssl證書Linux伺服器
- 使用 OpenSSL 建立私有 CA:1 根證書
- 什麼是伺服器SSL證書 是SSL加密證書還是程式碼簽名證書伺服器加密
- 怎麼在伺服器上安裝SSL證書?伺服器證書安裝配置指南!伺服器
- Symentec賽門鐵克企業型SSL證書好不好
- nginx 代理伺服器配置雙向證書驗證Nginx伺服器
- 證書過期?私鑰洩露?原來,企業證書管理不當竟有這麼多安全風險!
- 使用 OpenSSL 建立私有 CA:2 中間證書
- 如何快速建立自簽名 SSL 證書 -- [mkcert]mkcert
- 10 建立SSL與RSA證書與金鑰
- 伺服器證書的備份方法伺服器
- iOS企業簽名證書為什麼會出現信任提示iOS
- iOS企業版分發關於plist和證書的那些事iOS
- 小微企業怎麼選擇價效比高的SSL證書?
- 如何建立企業級別的機器學習模型伺服器?- kdnuggets機器學習模型伺服器
- 如何建立iOS證書和描述性檔案iOS
- kubernetes實踐之二:建立TLS證書和金鑰TLS
- 使用 OpenSSL 建立私有 CA:3 使用者證書
- 中科三方:企業有沒有必要安裝SSL證書?SSL證書為什麼沒有全面應用?
- 程式碼簽名證書——企業程式碼安全的不二之選!
- 企業與組織首選的SSL證書型別是什麼型別
- 飛書 + Lua 實現企業級組織架構登入認證架構
- 企業如何選擇一個適合自己網站的SSL證書?網站