证书服务器搭建
Ⅰ windows service 2008 服务器下建立 PKI证书服务器
certsrv进不去,会不会是AD没有弄好?提交申请时,没有模板,可能是你证书服务器下没有引用颁发证书模板。
Ⅱ 可以自己建立 SSL 证书用在自己的服务器上吗
可以自己建立SSL证书用在自己的服务器上,这种证书也叫自签名SSL证书,就是自己给自己颁发的,出于网站安全考虑,不建议使用这种SSL证书,因为它有很多缺点:
第一、被“有心者”利用。
其实“有心者”指的就是黑客。自签名SSL证书你自己可以签发,那么同样别人也可以签发。黑客正好利用其随意签发性,分分钟就能伪造出一张一模一样的自签证书来安装在钓鱼网站上,让访客们分不清孰真孰假。
第二、浏览器会弹出警告,易遭受攻击
前面有提到自签名SSL证书是不受浏览器信任的,即使网站安装了自签名SSL证书,当用户访问时浏览器还是会持续弹出警告,让用户体验度大大降低。因它不是由CA进行验证签发的,所以CA是无法识别签名者并且不会信任它,因此私钥也形同虚设,网站的安全性会大大降低,从而给攻击者可乘之机。
第三、安装容易,吊销难
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。
第四、超长有效期,时间越长越容易被破解
自签名SSL证书的有效期特别长,短则几年,长则几十年,想签发多少年就多少年。而由受信任的CA机构签发的SSL证书有效期不会超过2年,因为时间越长,就越有可能被黑客破解。所以超长有效期是它的一个弊端。
Ⅲ 证书服务器
既然你已经把实验都做了,说明整个过程的数据流向应该清楚了:用户产生证书请求(请求中包括公钥)->RA->CA->RA->用户的USBKEY或其它证书存储区(如IE)。
现在的数字证书管理都是按照此PKI体系。
客户端负责产生证书请求,产生证书请求时,USBKEY(或IE)会生产公私钥对,并将公钥封装在证书请求中
RA接到用户的请求(包括用户信息和证书请求),对此用户的合法法进行验证(可以人工也可自动),验证通过就把请求(含公钥)发给CA
CA只负责根据请求签发证书(证书中会包括CA证书对证书信息的数字签名),并返回给RA。
RA获得到生产的证书,并通过脚本将证书安装到客户端的USBKEY(或IE)中。
可能的拓扑:
根CA
CA
RA1 RA2
用户1用户2用户3
Ⅳ 如何部署证书服务器
打开服务器管理器,选择添加角色。
勾选AD证书服务区,点击下一步。
选择颁发机构和颁发机构web注册,单击下一步。
选择添加所需要的角色。
选择独立类型。
第一次安装选择根域。
选择新建私钥。
选择Sha1算法。
输入公用名称和域名称。
全部默认,单击安装。
Ⅳ https server怎么搭建
要想成功架设SSL安全站点关键要具备以下几个条件。
1、需要从可信的证书办法机构CA获取服务器证书。
2、必须在WEB服务器上安装服务器证书。
3、必须在WEB服务器上启用SSL功能。
4、客户端(浏览器端)必须同WEB服务器信任同一个证书认证机构,即需要安装CA证书。
下面,我们对照上面的四部,进行一步一步的操作
1:需要从可信的证书办法机构CA获取服务器证书(由于我们是在本地做测试环境,而不是实际操作。所以这里我们自己创建一个证书。如果是实际的操作,需要通过域名商,来获取一个证书,这是要花钱的。)
2:必须在WEB服务器上安装服务器证书。
打开IIS,找到服务器证书、
点击创建自签名证书
输入你要创建的证书的名字,我这里取名 joeyssl
3、必须在WEB服务器上启用SSL功能。
接下来,我们新建一个本地测试站点,并且绑定刚才我们创建的证书。
打开 hosts 文件,用于创建一个站点的名称(例如 http://webjoeyssl 那么这个 webjoeyssl 就是我们需要创建的站点名称,我用hosts解析为本地)
C:\Windows\System32\drivers\etc
在IIS里面绑定目录,绑定http和 https
在添加的时候,绑定类型,先选择 http 的类型,虽然这里有 https,但是还是首先要保证能通过 http能访问网站,毕竟大部分的人都是通过http来打开站点的,只是在某些特别需要加密的地方用到https,我们下一步会绑定 https的,这里先不急,除非你整个站点都是https运用,那么这里才只选择https。
Ⅵ SSL数字证书如何在各类服务器上部署
首先SSL证书分为很多格式,他们不同格式的证书将应用到不同的服务器环境。
常见的服务器环境证书部署教程:网页链接
Ⅶ 如何申请https证书,搭建https网站
可以直接Gworg申请。
申请方法:
登录:Gworg(可以淘宝或者搜索引擎找到)
将需要的域名或IP发给客服,选择对应的SSL证书类型。
按照认证要求,完成DNS解析认证。
几分钟后邮箱收到SSL证书,点击下载到桌面。
将SSL证书配置到服务器,安装方法可以根据Gworg技术安装文档操作。
实现HTTPS加密,完成。
获得SSL证书:按照以上方法申请完毕后,登录邮箱获得SSL证书证书。
Ⅷ win7 在哪安装证书服务器
步骤1:搭建软件环境,windows7旗舰版执行【开始】I 【设置】I 【控制面板】命令,在打开的【控制面板】 窗口中双击【添加删除程序Windows组件】选项,在这里面安装IIS以及ASP服务,如图所示。
Ⅸ ssl证书安装到服务器上要怎么搞啊
申请SSL证书后根据服务器环境部属。
解释原因:
- Gworg获得SSL证书。
下载证书后得到相应的服务器环境证书。
使用对应的服务器环境证书文件。
然后进入Gworg选择相应的技术文档安装:网页链接
解决办法:安装SSL证书是非常专业的,如果已经拥有了SSL证书不会安装,建议找一些服务器环境部属人员配置,也可以在Gworg获得技术支持。
Ⅹ 如何部署HTTPS 申请证书 安装证书
申请SSL证书的一般步骤
一、制作CSR文件
CSR就是Certificate Secure Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。另外,也可以通过沃通CA提供的CSR在线生成工具在线生成,或者联系沃通CA协助生成。
二、CA认证
将CSR提交给我们的工作人员,一般有2种认证方式:
1、域名认证,一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;
2、企业文档认证,需要提供企业的营业执照。一般需要3-5个工作日。
三、证书的安装
在收到我们发给您的CA证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。