为保证网上数字信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即参加电子商务的各方必须有一个可以被验证的标识,这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。它将实体的公开密钥同实体本身联系在一起,为实现这一目的,必须使数字证书符合X.509国际标准,同时数字证书的来源必须是可靠的。这就意味着应有一个网上各方都信任的机构,专门负责数字证书的发放和管理,确保网上信息的安全,这个机构就是CA认证机构。各级CA认证机构的存在组成了整个电子商务的信任链。如果CA机构不安全或发放的数字证书不具有权威性、公正性和可信赖性,电子商务就根本无从谈起。
数字证书认证中心(Certficate Authority,CA)是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联,最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构--根认证中心(根CA)。
电子交易的各方都必须拥有合法的身份,即由数字证书认证中心机构(CA)签发的数字证书,在交易的各个环节,交易的各方都需检验对方数字证书的有效性,从而解决了用户信任问题。CA涉及到电子交易中各交易方的身份信息、严格的加密技术和认证程序。基于其牢固的安全机制,CA应用可扩大到一切有安全要求的网上数据传输服务。
数字证书认证解决了网上交易和结算中的安全问题,其中包括建立电子商务各主体之间的信任关系,即建立安全认证体系(CA);选择安全标准(如SET、SSL);采用高强度的加、解密技术。其中安全认证体系的建立是关键,它决定了网上交易和结算能否安全进行,因此,数字证书认证中心机构的建立对电子商务的开展具有非常重要的意义。
认证中心(CA),是电子商务体系中的核心环节,是电子交易中信赖的基础。它通过自身的注册审核体系,检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。认证中心作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
1、首先打开服务器管理器点击进行添加角色和功能。2、其次一路回车到选择服务器角色选择ActiveDirectory证书服务并继续。
3、最后就可以进行ca服务器的搭建了。
首先在根CA进行签署自证证书,然后子CA向根CA申请证书,根CA签署证书后子CA就可以向其他申请者发放证书。此时的子CA服务器相对于根服务器来说是申请者,相对于web服务器申请者是签署者,所以子CA是两个身份,既是申请者又是签署者。三者之间的关系一定要搞清楚,否则在搭建的时候容易出现混乱。
配置文件 /etc/pki/tls/openssl.cnf 省略了一部分配置文件只保留了有关CA的配置。如果服务器为证书签署者的身份那么就会用到此配置文件,此配置文件对于证书申请者是无作用的。
我在搭建CA服务器时就是因为对目录结构不清晰,导致搭建失败。所以在搭建之前要把最重要两个目录结构搞清楚。
/etc/pki/CA/cacert.pem就是生成的自签名证书文件,使用sz工具将他导出到windows机器中。然后双击安装此证书到受信任的根证书颁发机构。
再次将证书传到windows电脑中,双击查看此证书,可以看到是ca.aubin.red颁发给subca.centos9.top的证书。显示此证书是正常的可用的前提是要将之前的证书安装好可信的根证书路径。
同时也将子CA的证书安装到电脑中后,子CA就可以给其他申请者签署证书了。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)