如何在企业部署证书服务-联科教育

iLync

1. 证书服务（CA）, 证书（数字证书）有何关系

1）证书服务，CA，证书颁发机构    三个称呼一样

2）CA是负责颁发证书的，证书是用来加密

2. 证书在现实环境中有何用？

1）加密: 比如访问网银都是通过 HTTPS 的方式访问。

2）签名：就是身份验证；比如在网银交易的时候所使用的U盾

3. 证书如何获取

1）向公网的证书提供商购买数字证书（www.verisign.com, www.ssl.com, www.wosign.com）

2 ) 可以在内部服务器上安装一个证书服务，从证书服务器上获得证书。

4. 从证书提供商购买的证书和内部服务器上申请的证书，在使用上是不是一样？

1） 从加密的角度讲是一样的

2） 在默认情况下，从公网上购买的证书，所有计算机都信任此证书，如果是从公司内部服务器上获取的证书，所有的计算机都是不信任的。

问题图下图

                               
登录/注册后可看大图

                               
登录/注册后可看大图

5. 为什么推荐去公网的证书提供商去买证书，而不自己免费的在公司内部去申请证书

在公网购买的证书默认情况下，所有的计算机都信任这张证书，用户访问的时候不会有任何的警告；

如果自己制作的证书，默认情况所有的操作系统都不会信任，在访问的时候都跳出安全警告窗体。

6. 对称加密和非对称加密

对称加密： 加密和解密使用同一把密码

非对称加密：

  1）非对称加密必须需要PKI（公共密钥架构）

  2）每个加密的用户（计算机）必须需要两把钥匙：公钥和私钥

  3）公钥存在于用户所申请的证书当中；而私钥是用户安装证书的时候

      在本地自动生成的。

  4）如果用公钥加密，私钥解密；如果用私钥加密，公钥解密

  5）公钥是公开的，每个人都可以获得；而私钥是保密的，只能自己知道

  6）由公钥无法推算出私钥

7.实验：证书服务的部署和基本的应用

                               
登录/注册后可看大图

需求：

1） 部署好如图实验环境

2） 让Alice能够通过Http://www.intel.com访问到公网Web Server，并且在防火墙抓包，确认HTTP协议的访问时明文的。

3） 实现Alice能够通过 HTTPS://www.intel.com访问到公网的Web Server，并且在防火墙上抓包，确认HTTPS协议的访问是加密的。

8. 证书服务部署和使用注意点

1） 在工作组的环境中，只能安装独立CA; 在AD架构中，可以安全企业CA和独立CA；

   企业CA好处：可以自动颁发证书，可以和AD架构整合,可以使用证书模板等等

2） 证书服务器计算机要求比较严谨，所以计算机上只要安装证书服务器，计算机的名称无法休息，计算机无法加入域（当前是工作组），计算无法从域中退出（当前是域）等等

3） 计算机在申请证书前，务必保证这台计算机已经信任的所申请CA

9.企业CA的应用案例分析

                               
登录/注册后可看大图

需求：

         1. 按图部署好实验环境

         2. 让所有的客户端自动信任证书颁发机构

         3. 让所有的用户输入 HTTPS://www.contoso.com能够访问到Web Server

         4.  用户输入www.contoso.com能自动跳转到HTTPS://www.contoso.com

10. 关于企业CA的信任

1） 如果CA在用户加入域后安装，客户端默认是不信任CA的；如果CA是在用户加入域前安装，

所有的客户端加入域后自动信任CA

2）在域中可以通过组策略批量让客户端自动信任企业ＣＡ

                               
登录/注册后可看大图

---本文档由联科教育（http://www.iLync.cn）原创提供，如有问题请咨询我们的专家团队！---

975442327

iLync

{:soso_e100:}

.smile

iLync

iLync

mengling

走过路过,不能错过.

mengling

谢谢，O(∩_∩)O哈哈~

iLync

{:soso_e100:}