建立企业证书服务器

一、证书

如何帮助构筑正确的证书，确保企业用户访问过程是安全可信的？ 因此这里首先需要了解什么是证书链。

1.   最上层为root，也就是通常所说的CA，用来给WEB服务器等签发证书，后期需要通过证书服务器的网站来签发证书；

2.   最下层为end-user，可以手动保存企业证书或者是内置操作系统内；

3.   中间一层为WEB服务器，使用CA签发的证书来提供对外服务；

二、证书验证过程

浏览器接收到服务器证书后，如何验证证书合法？首先最顶级的CA证书也称为根证书（自签名证书），一般顶级根证书都是由浏览器内置在发行包， 或者内置在操作系统的发行包。EndUser 浏览器接收到服务器证书后，会根据证书中包含的签发CA机构信息，找到对应CA机构的CA证书，用它对证书的签名进行验证，同时还会验证证书绑定的域名，证书的有效期，以及证书的使用范围等等， 如果验证失败，则会报错并显示一个错误页面，提醒用户正在访问的网站是个高危不安全的网站，有些浏览器还允许手工添加例外。

WEB服务器提供HTTPS服务则 需要启用证书，需要找CA机构申请证书。通常向CA机构发送一个证书请求文件CSR（Certificate Signing Request)，这个文件和正式的证书主要差别是没有签名，主要包含你是谁(Subject)和公钥等信息。 CA机构收到请求后，需要核实申请人的信息，核实无误后，就会用自己的私钥给待申请的证书签名，签名和证书的公钥以及Subject等信息一起打包（X.509格式）后，就是一张合法的证书。 WEB 服务器拿到证书后，就可以把这张证书和对应的私钥一起部署到自己的服务器上并启用HTTPS，浏览器发出HTTPS请求的时候，服务端就会把这张合法的证书推送给浏览器，浏览器接收后会进行一系列的校验。

三、 中间证书

各个顶级CA机构的根证书都内置在浏览器或者操作系统的发行包中，这些根证书当然可以使用来给客户签发证书请求，但实际中很少有CA机构这么干，原因在于如果某个根证书有问题，比如私钥泄露，基本上是灾难性的， 对应的CA根证书很快就会被各大浏览器和操作系统厂商移除，所以绝大部分的顶级CA机构会用自己的根证书私钥签署一些二级（或多级）CA证书，然后用这些二级（或多级）CA证书的私钥给客户签发证书请求， 当某个二（多）级CA证书出幺蛾子的时候，只要把该二（多）级证书吊销就可以，波及面也不会那么大。以下就是一个二级证书的例子

四、部署企业根CA证书

⚠️注意：这里部署的企业根证书并不会内置在操作系统或浏览器中，需要在每个EndUser导入根证书文件

这里介绍如何在Windows 服务器中建设根证书，以便于后期其他的应用系统能够申请证书来使用。

1.       添加AD 域内服务器Cert01 的角色和功能；

2.       勾选证书颁发机构和颁发机构WEB 注册选项；( 增加了注册策略)

3.       角色服务选择默认即可；

4.       等待安装完成；

5.       在服务器管理中看到尚未对证书服务进行配置，点选进入配置；

6.       点选下一步；

7.       勾选证书服务器机构和证书web 注册选项；

8.       选择企业CA 证书类型，如下：

9.       选择企业CA 根证书；

10.    创建证书私钥，由于CA 根需要保存私钥，因此需要创建一个新的私钥来保证安全；

11.    选择加密证书私钥；

12.    输入证书CA 名称，为了便于记忆，这里按照域的名称输入名称，如下；

13.    设定私钥的使用有效年限，3 年；

14.    指定证书的本地库；

15.    选择CEP 身份验证类型；

16.    服务器证书，由于尚未安装任何ssl 证书，这里选择证书并稍后SSL 分配；

17.    确认安装；

18.    验证安装结果成功；

19.    在服务器管理器中，选择继续配置AD 域的证书服务器‘

20.    继续增加证书注册WEB 服务；

21.    选择证书注册WEB 服务的CA 证书，这里看到证书是第十二步生成证书名；

22.    身份验证选择；

23.    增加域用户administrator 与到本地的IIS_IUSRS 组中，然后制定改用户；

⚠️ 注：这里需要在控制面板用户管理里增加域用户到本地的IIS 组中；

24.    此时选择服务器证书（第16 步我们曾经忽略）；

25.    确认配置

26.    证书服务器安装完成；