CA证书服务器（5） 架设企业根CA

在上篇博文中提到，安全技术主要是经过证书来实现的，好比咱们能够为Web服务器申请证书，以实现安全通讯。证书能够向一些知名的商业CA申请，但这要缴纳不菲的费用，若是咱们的网站只是在企业内部或一些合做单位之间使用，那么就能够本身架设CA来颁发证书。下面咱们就来搭建这样一台CA证书服务器。

在复杂的认证体系中，CA分为不一样的层次，其中根CA是CA信任体系结构的最高级，它通常负责整个CA体系的管理，为下属的子级CA签发并管理证书，而不直接为用户签发证书。根如下的各级CA都称为子级CA，负责本辖区的安全，并直接为用户颁发和管理证书。

在Windows Server 2008 R2系统中搭建CA服务器时，能够将服务器配置成企业根CA、企业子级CA、独立根CA、独立子级CA四种类型，其中企业CA要求AD服务，即CA服务器必须处于域环境，而独立CA则没有要求。企业CA和独立CA的主要区别见下图：

在咱们的实验环境中只架设一台企业根CA，直接用它来为用户发放证书。

因为CA服务的负载并不大，于是没有必要单独占用一台服务器，咱们这里将它部署在以前已经搭建好的额外域控制器（IP：192.168.1.2）上。

以域管理员的身份登陆额外域控制器，在【服务器管理器】中选择添加“Active Directory证书服务”角色。

除了默认的证书颁发机构外，还须要安装“证书颁发机构Web注册”组件，并在跳出的界面中单击“添加所需的角色服务”按钮来安装IIS角色，以便让用户能够利用浏览器来申请证书。

CA安装类型选择“企业”。企业根CA发放证书的对象仅限于域用户。

CA类型选择“根CA”。

在“设置私钥”中选择“新建私钥”，此为CA的私钥，CA必须拥有私钥后才能够发放证书。

采用默认的私钥建立方法，加密算法使用的是RSA，密钥长度2048位，哈希算法（消息摘要算法）采用的是SHA1。

CA名称采用默认值。

CA有效期默认为5年。

证书数据库存放位置采用默认值，Web服务器选择角色服务中采用默认值，最终确认无误后开始安装。

完成安装后，可经过【管理工具】中的【证书颁发机构】来管理CA。

Active Directory域会经过组策略来让域内的全部计算机来自动信任根CA，也就是自动将企业根CA的证书安装到客户端计算机。因为这条组策略是在“计算机配置”中设置的，于是客户端计算机须要重启才能应用。

将客户端计算机重启以后，以普通域用户的身份登陆，打开IE浏览器的“Internet选项”，能够看到咱们刚才安装的企业根CA已经自动被加入到了“受信任的根证书颁发机构”中去。

此时在客户端打开浏览器，输入CA服务器的URL“http://192.168.1.2/certsrv/”，便可以打开证书申请页面，如图所示。（在访问时须要输入用户名和密码，输入任意一个域用户帐户便可。）

注意，若是客户端没法正常打开CA的证书申请页面，那么能够经过如下两项操做来解决问题：一是将客户端的IE ESC功能关闭；二是推动用域名的形式访问CA，如http://ca.coolpen.net/certsrv,在2008的域环境中使用UNC路径或URL时，好像对IP支持的不够好，而使用域名则不多出问题。