SSL之CA证书颁发机构安装图文详解

上一节我们说到，在验证公钥安全性时，是在CA机构颁发的包含用户的公钥及其身份信息的数字证书,数字证书由权威机构——CA签发。这个CA权威机构可以是自己的服务器也可以是国际公认的CA权威机构。下面我就来讲一下CA证书颁发机构

如果你需要在组织里发布exchange，或者需要给IIS配置SSL的访问方式，则需要部署CA，关于CA的应用，后续会有几篇文章来专门叙述，本文仅仅介绍CA证书颁发机构的安装，这也是SSL应用的基础工作。

阅读本文，你将了解到以下内容

◆什么是CA及CA的作用

◆安装CA的准备条件

◆如何CA安装

◆何为根证书

在安装CA前，我们需要了解什么是CA。字面上理解，CA即Certificate Authority ，也就是证书授权中心，对于这6个字，如何理解？来帮大家逐字分析一下：

中心：可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台

授权：可以理解为，如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证，获得许可以后才可以继续操作。

证书：证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

总结一下，为了实现证明及安全的目的，我们建立了一套系统或者平台，它可以用来证明某些事物的合法性和真实存在性，并且为此提供足够强的保护，从而来抵御外界的攻击。这就是证书认证系统或者证书授权中心。概念似乎很抽象，不过后面会讲到更多的应用，当你理解这些应用后，再回过头来看这段话就会觉得很好理解。

我们开始吧，首先介绍一下CA安装的基础环境。

基础环境：

1、服务器版本操作系统，2000ser或2003 ser ,2008 ser等

2、安装CA前，请先安装好IIS。

一、安装CA

1、首先打开添加与删除程序，找到添加与删除组件，找到证书服务

当我们选中证书服务的时候，系统会弹出一个提示

大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中，所以装完CA后无法修改计算机名称，我们这里点击YES，

这里有4种CA类型可供选择。

有2大类，企业根CA和独立根CA，各自又有一个从属的CA。从属CA是为上级CA授权给下级CA机构来颁发证书准备的，就范围和功能性而言，企业CA较独立CA更广，更强大。比如独立CA无法使用证书模板，而企业CA可以。还有一点就是一个网络上首个安装的CA必须为根CA，若是企业根CA则必须有域环境，这里我们就选择第一个，并点击【Next】

在这个界面中，我们需要注意两个地方，

1、common name for this ca

这里的名称其实和之后要申请的公共名称没有太大关联，我们可以自己命名，因为这个只是给我们要安装的CA起的一个可识别的名称而已，没有实际含义。所以这里

我写的是ca01，请大家不要和申请SSL或者发布OWA时所输入的公共名称相混淆。

2、Validity period

这个是安装的CA机构可正常运行的期限，即自安装日起5年内可以正常处理各种类型的证书的申请请求。当然你也可以手动更改，在右侧会出现相应的过期日期。

输入根CA的名称后，点击【Next】，经过一个很简短的过程之后，出现以下图示：

我们可以设置CA证书的数据库以及日志的存放路径，一般默认即可，点击【Next】继续，此时会弹出一个提示窗口，如下图示：

意思是，要完成CA的安装，需要临时停止IIS服务器，由于我这里IIS上没有运行web，所以可以直接点YES，这点请留意。

确定后，就开始自动安装CA组件了。

安装过程中，如果你没有事先启用IIS6里的ASP的话，就会出现下面的提示，此时只需确定即可。

经过大概1、2分钟的安装过程后，CA组件顺序安装完毕。

点击Finish完成整个过程。

二、查看CA

CA已安装，但在哪里查看呢？别急，我们可以通过2个办法来实现

1、可以依次点击 开始/程序/管理工具/Certification Authority

2、也可以在命令窗口内输入certsrv.msc,确定后直接打开CA

2种方法效果都是一样的，我们选用第二种方法。

下面是打开的主界面

这里我们可以看到ca01这个名称，熟悉吗？ 对了，这就是我们在申请CA的时候输入的CA机构的名称，请记住，这仅仅是一个名称，对以后申请各类应用型的证书没有任何影响。

下面5个文件夹分别是【吊销的证书】、【已颁发的证书】、【挂起的请求】、【失败的请求】、【证书模板】，这里不做细述，以后用到的时候再讲，其实很简单。

在这里我想和大家讨论的一个概念，就是“根证书”。其实当我们把CA机构创建完毕后，它的基本功能就是它将为其他应用程序或者服务器等颁发及管理证书，在安装完毕后，它会给自己颁发一个证书，也就是root certificate 根证书，而且是自己信任自己的，那在哪里查看呢？？？

右键ca01，选择【属性】，如下图：

我们可以很清晰的看到有一个certificate #0的证书，这就是ca01这个CA颁发机构的根证书。点击右下角的View Certificate ，可以查看根证书的详细属性。

【常规】选项卡，这里可以看到很简要的信息，比如颁发者ca01，颁发给ca01，也就是自己给自己颁发，很简单，它是根CA，也是该网络里的第一台CA证书服务器，只能自己给自己颁发一个根证书，为什么要这么做呢？原因有两点，1、它是最高级别的CA  2、为后面申请的CA证书提供认证。

【详细信息】选项卡，这里不但可以查看证书的一些基本信息，包括证书版本，生效日期，以及失效日期，还有算法及加密信息等。

右下角有一个 copy to file，我们可以利用这个选项将根证书导出为3种不同的格式，我会在后面的教程中说到。

【证书路径】选项卡，这里显示的是证书体系的逻辑结构，因为我现在只有根证书，所以也只能看到自己了。

OK，关于CA安装的图文详解先写到这里，后面还会有相关的文章，尽请期待！

来源于：http://jeffyyko.blog.51cto.com/28563/140518