Descripción general de la configuración de CA (Autoridad de certificación)

A medida que los problemas de seguridad se agravan ahora, para garantizar la confidencialidad de la transmisión de datos, la certeza de la identidad de los comerciantes, etc., debemos adoptar un mecanismo de seguridad para lograr estas funciones. Aquí exploramos los "certificados" en el siguiente sistema PKI, es decir, cómo construir un entorno de CA para garantizar la seguridad.

CA (Autoridad de certificación) es la principal responsable de la emisión, gestión, archivo y revocación de certificados. Podemos considerar los certificados como los permisos de conducir que necesitamos para conducir. El certificado contiene el nombre, la dirección, el número de cuenta de correo electrónico, la clave pública, el período de validez del certificado, la CA que emitió el certificado y la firma digital de la CA. Los certificados tienen tres funciones principales: cifrado, firma y autenticación. El conocimiento específico del cifrado no se elabora aquí. Aquí discutimos principalmente cómo implementar el entorno de CA.

La arquitectura de CA es un modelo de implementación jerárquico, dividido en "CA raíz" y "CA subordinada": "CA raíz" se encuentra en la parte superior de esta arquitectura, generalmente se usa Para emitir certificados a otras CAs (CA subordinadas). En el sistema Windows, podemos crear cuatro tipos de CA: CA raíz de la empresa y CA subordinada de la empresa (las dos CA solo pueden estar en el entorno de dominio): CA raíz independiente y CA subordinada independiente.

Instale CA: a través del panel de control - agregue eliminar programa - agregue eliminar eliminar componentes de windows - servicio de certificados, seleccione el tipo de CA instalada durante el proceso de instalación, luego aquí elegimos CA raíz independiente, ingrese El nombre de la CA y la fecha de caducidad están establecidos, y el asistente está completo.
(Tenga en cuenta aquí: Instale IIS antes de instalar el Servicio de certificados) Solicite un certificado: Después de instalar el servicio de CA, puede solicitar un certificado directamente. Hay dos formas de solicitar un certificado: a través de la consola MMC (este método solo es aplicable a la CA raíz de la empresa y la empresa). CA subordinada) ya través del navegador web. Aquí solo podemos elegir la forma en que el navegador web, buscar una computadora cliente, ingresar la dirección IP del servidor http: //ca o el nombre de la computadora /certsrv en el navegador IE. Luego elija solicitar un nuevo certificado, seleccione el tipo de certificado, ingrese la información correcta, puede obtener el certificado.

Uso de certificados: podemos configurar un servidor POP3 simple para implementar el servicio de correo. Ahora suponga que lily quiere enviar un correo electrónico cifrado y firmado a lucy, seleccione la herramienta - cuenta - correo en el lado del lirio, seleccione la cuenta de lily, haga clic en el atributo - seguridad, seleccione el certificado. Haz lo mismo en lucy.