搭建CA服务器

步骤一：配置openssl的文件：/etc/pki/tls/openssl.cnf，有三种策略：匹配、支持、可选。匹配指要求申请 填写的信息跟CA设置信息必须一致，支持指必

须填写这项申请信息，可选指可有可无。

步骤二：创建所需的文件，这文件是为了后续申请ca用的，在此先配置。

步骤三：生成私钥

步骤四：生成自签名证书 openssl req -new -x509 –key

/etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.pem

查看证书文件

步骤五：在需要的客户端申请私钥

步骤六：生成证书申请文件

步骤七：把证书请求文件传输给CA

scp /etc/pki/tls/service.src 192.168.100.200:

步骤八：CA签署证书，并将证书颁发给请求者。注意：默认国家，省，公司名称三项必须和CA 一致

步骤九：查看申请完成的证书

步骤一：生成自定义证书申请文件，并把文件发给CA。

步骤二：ca签署自定义申请证书

步骤三：要完成自定义申请证书，必须要修改配置文件：/etc/pki/tls/openssl.cnf

修改后

步骤四：重新签署自定义申请证书，此时，签署证书没有报错，输入两次yy，文件末尾显示Data Base Updated ，完成签署。

步骤五：查看新申请完成的证书

步骤六：当我们的证书丢失或者不想使用的时候，如何吊销证书呢？方法如下：openssl ca -revoke /etc/pki/CA/newcerts/02.pem

步骤七：指定一个吊销证书的编号，注意：第一次更新证书吊销列表前，才需要执行

echo 01 >/etc/pki/CA/crlnumber

步骤八：更新证书吊销列表 openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem

步骤九：查看crl文件:openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text

证书和CA的区别？

CA证书颁发机构：是Windows Server中自带的服务，安装CA服务器成为证书服务器，CA可以颁发证书。

证书：证书服务器生成的一个文件（工具），使用此文件（工具）可以实现加密等功能。

一般来说，推荐去供应商买证书，这样可以全网认，如果是自己颁发的证书，基本只能在DC中使用！

CA证书部署

———————————————————————————————————————

实战：使用CA证书加密网站

1.新建一个index.html网站

2.申请证书

把证书存储到桌面，方便等会申请

打开证书申请网站 http:\\localhost\certsrv

另存为到桌面上

——————————————————————————————————————————————————————————————————————————

3.完成或者导入证书

IIS上没有我刚刚新建的fly.com这张证书。感觉是这个系统有点问题，不知道咋回事。网上查了下好像是这个版本有问题。所以推荐另一种方法！！！（要是推进不下去就私聊我）

1.第一张是CA本身的认证证书，我们申请的第二张证书没有在IIS服务证书里面，所以我这边直接在mms里面导出。

2.运行-mms -添加证书组件

导入刚刚导出的证书

4.新建网址，通过CA证书进行加密！

参数如图

1、首先安装CA证书服务器。

2、其次设置Web安全访问。

3、最后安装企业CA，安装企业CA后域中的客户端只要刷新了组策略就会信任企业CA颁发的所有证书即可。

---