台灣最大程式設計社群網站
線上人數
1490
 
會員總數:245468
討論主題:189226
歡迎您免費加入會員
討論區列表 >> 網管 / 資安 / VM >> 有關SSL的問題,請幫幫忙!!
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
有關SSL的問題,請幫幫忙!!
價值 : 0 QP  點閱數:2432 回應數:12

樓主

xie
初學者
4 1
30 3
發送站內信

請問如果我要自己架設CA認證我的網站,我在安裝CA的時候應該選擇[獨立的根CA Standalone Root CA]還是[獨立的次級CA Standalone Subordinate CA]?? 
請問網站跟CA可以架在同一台嗎?
希望各位高手幫我解答..謝謝!!

本篇文章發表於2003-03-27 17:16
別忘捐VP感謝幫助你的人 新手會員瞧一瞧
1樓
回應

simon
檢舉此回應
要建立CA 建議網域有DC, 由DC來做CA的發送....
然後建立根CA.......
剩下的電腦若要用到CA 的話只要去跟DC申請就可以...

本篇文章回覆於2003-03-27 17:30
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

xie
檢舉此回應
謝謝simon,可是我現在就是沒有DC所以才會選擇安裝獨立的CA,不知道你是不是有這種經驗?
本篇文章回覆於2003-03-28 08:54
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

Marvel
檢舉此回應
你的問題已經提供採"standalone" CA,
若你都沒有任何的CA server 當然是選standalone root ca,
網站& ca 是可以架同一台。
若你網域中電腦有登入AD的話,那麼選企業根ca 也是可以,
若有要配發給其它的電腦話,選獨立ca。
另外請記得要做patch,若沒有的話,你在使用http://server/certsrv/
要求憑證時會出現問題。
本篇文章回覆於2003-03-28 15:00
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
作者回應

xie
檢舉此回應
我已經選擇了Standalone Root CA 請問一下要作什麼Patch??
我現在在要求憑證的時候會一直停在輸入資料的那個畫面一直顯示正在下載ActiveX,而無法提交...?? 
本篇文章回覆於2003-03-28 15:31
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
回應

simon
檢舉此回應
記憶中不知道沒有DC能夠裝CA server 嗎?
嗯等等問問微軟... 
^_^ ...

上面說的意思是說要做一個批次檔來產生CA 憑證...
不過建議還是由 http 的方式去跟CA server 申請CA憑證比較簡單....
本篇文章回覆於2003-03-28 15:35
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
回應

simon
檢舉此回應
企業CA和獨立CA
 

Certificate Services包括兩個原則模組,允許企業CA和獨立CA這兩個等級的CA。在這兩種等級裡面可以有根CA和附屬的CA這兩類。原則模組定義了在CA 收到憑證請求時,應採取在需要時可以修改的動作。

CA通常以階層方式來組織,其中最被信任之CA在頂部。Windows 2000 PKI使用階層式的CA模型。可能有多個不相連的階層,但不要求所有 CA都共用一個頂層父系 CA。

企業CA
 

在企業裡,企業根CA是最被信任的CA。在Windows 2000網域中,可以有多於一個以上的企業根CA,但在某個特定的階層裡只能有一個企業根CA。所有其他的CA都是企業附屬CA。

如果一個組織要為使用者或自己內部的電腦發行憑證,則必須安裝企業CA。但並不需要在組織的每個網域都安裝CA。例如,子網域中的某個使用者可以使用父系網域中的CA。企業CA 有一個特殊的原則模組來實施憑證的處理和發行。模組使用的原則資訊正是儲存在Windows 2000的Active Directory中。


--------------------------------------------------------------------------------

說明: 

必須在安裝企業CA前執行 Active Directory和DNS伺服器。


--------------------------------------------------------------------------------

獨立CA
 

想為使用者或組織以外之電腦發行憑證的組織必須安裝獨立CA。有很多種獨立CA,但每階層只能有一個獨立CA。而同一階層中的其他所有CA都是獨立的附屬CA或企業附屬CA。

獨立CA 有一個比較簡單的預設原則模組,並且不在遠端儲存任何資訊。因此獨立CA不需配備Microsoft的Windows 2000 Active Directory。

CA的類型
 

Certificate Services中四種可用CA類型的安裝設定需求,將在本章後面章節處加以說明。

企業根CA
 

企業根CA是組織CA階級制度的基礎。如果要為使用者或組織內的電腦發行憑證的話,那麼此組織必須建立一個企業根CA。在較大的組織中,企業的根CA只用來為附屬CA發行憑證。而利用附屬CA來為使用者和電腦發行憑證。

企業根CA需要下列事項: 

Windows 2000 DNS服務。
  
Windows 2000Active Directory服務。
  
所有伺服器管理特權。
 
企業附屬CA
 

企業附屬CA是一個在組織內部發行憑證的CA,但不是此組織中最被信任的,並附屬在此階層中的另外一個CA。

企業附屬CA會有下列要求: 

必須將其和處理附屬CA的憑證請求的CA聯繫起來。這可能是外部的商業CA或一個獨立CA。
  
Windows 2000 DNS伺服器。
  
Windows 2000目錄服務。
  
所有伺服器管理特權。
 
獨立的根CA
 

獨立的根CA是CA信任階級制度的基礎。獨立的根CA需要有對本機伺服器的管理特權。如果組織要向外部的企業網路發行憑證的話,就應該安裝一個獨立的根CA。一個典型的根CA只為附屬CA來發行憑證。

獨立的附屬CA
 

獨立的附屬CA 扮演獨立的憑證伺服器的角色,來運作或存在於CA信用階級制度中。如果要為組織外的實體發行憑證,則該組織應該建立獨立的附屬CA。

獨立的附屬CA有下列要求: 

必須將其與處理附屬CA的憑證請求的CA聯繫起來。這可能是一個外部的商業CA。
  
本機伺服器管理特權。
  
憑證登記是一個取得數位憑證的程序
本篇文章回覆於2003-03-28 15:42
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
回應

simon
檢舉此回應
安裝一個獨立的附屬CA

從 Control Panel 中選擇 Add/Remove Programs 。 
按一下 Add/Remove Windows Components 。 
檢查緊鄰著 Certificate Services 的方塊,然後按一下 Next 。 
選擇 Stand-Alone Root CA ,然後按一下 Next 。 
填入CA識別資訊。 
輸入「ComputernameCA」當作此CA的名稱。按一下 Next 。 

使用預設的資料存放位置,然後按一下 Next 。 
在CA的安裝程序中,可能需要您按一下 OK 來停止World Wide Web Publishing Service,並且需要您提供Windows 2000安裝檔案(特別是Certsrv.*)的位置。 
按一下 Finish 。 
關閉 Add/Remove Programs 視窗。 
------------------------------------------------------------

向本機CA請求並安裝憑證
執行 Certificate Authority Manager 。 
執行 Internet Explorer並連線到 http://<your_server>/certsrv/defaul.asp。 
請求 Web瀏覽器認證,此請求將等候決定。 
關閉Internet Explorer。 
開啟 Certification Authority 並選擇 Pending Requests 資料夾。在您的請求上按一下滑鼠右鈕並從 All Tasks 功能表中選擇 Issue 。 
在左方窗格中選擇 Issued Certificates 資料夾,並確認請求已被發佈。 

執行 Internet Explorer,連線到 http://< your_ server>/ certsrv/ default.asp,檢查 Pending Certificate Request ,然後安裝此憑證。 
從 Tools 功能表上按一下 Internet Options \ Properties \ Certificate 。 
在 Certificate ,以反白來顯示您的憑證,然後按一下 View 。 
請注意到,您的電腦已經發佈了憑證,然後關閉所有視窗。 
本篇文章回覆於2003-03-28 15:44
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
回應

simon
檢舉此回應
什麼是憑證,有什麼用途? 
 憑證(數字憑證,公鑰憑證)是用來證明公鑰和實體之間被綁定的數字文件。主要用途是確保機密,以保證包含在憑證裡的公鑰最終屬於憑證中命名的實體。  

憑證頒發機構(CA)是什麼,它有什麼用途? 
 認證頒發機構(CA)是發行憑證的機構。CA可以是任何一個可信任的服務或實體,它們願意驗證和擔保憑證發行物件的身份和他們與具體鑰匙的關係。  

有哪四種類型的Microsoft憑證頒發機構? 
 企業根CA、企業從屬CA、獨立的根CA和獨立的從屬CA。  

指出憑證取消的一個原因。 
 * 實體密鑰洩密或可疑洩密。 

 * 在獲取憑證上的詐騙行為 。 

 * 狀況改變 。  

5個PKI標準憑證儲存區是哪些? 
 MY、CA、TRUST、ROOT和UserDS儲存區  

本篇文章回覆於2003-03-28 15:45
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
回應

Marvel
檢舉此回應
Simon 大大,
我指的patch 並不是指使用batch,
(請參考KB Q313272)
你可以試著將CA 架起來,然後使用http://yourdn/certsrv/,
然後要求一個新的憑證,你就會發現畫面會卡在下載 ActivX訊息,
就不動了^^

另外win2000 CA 提供兩種CA模式,一種是需要AD,一種則不用,
我想你應該已經從微軟那得到答案了^^
至於使用時機,我想你應該看過不少Docunemts了,我就不贅述了。
本篇文章回覆於2003-03-31 15:39
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
10樓
作者回應

xie
檢舉此回應
謝謝Simon及Marvel兩位高手的大力相助,我已經裝好了SSL!!! 感激不盡..很高興第一次在小站上留言就有人願意回答我^___^
但是有一個疑問還請兩位幫我解答..就是網站使用自己架設的CA所發的憑證來安裝SSL是否真的具有加密的功能?還是一定要外面認證公司所發的憑證才有用呢?
本篇文章回覆於2003-03-31 16:13
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
11樓
回應

Marvel
檢舉此回應
當然有加密功能,只是具不具備"公信力"的問題而以,
通常若是要對外的憑證都是跟第三方具有公信力的機構申請,
當然你也可以將自己核發的憑證散發出去,只是沒什麼意義^^
本篇文章回覆於2003-04-02 13:22
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
12樓
回應

simon
檢舉此回應
謝謝 Marvel 的指教,其實我也是翻書然後試著裝CA的...

回應xie
你的CA 使用的確可以用443 預設的SSL連接,但是接上去會
出現一個憑證的說明,裡面有三個欄位..名字忘記了..
但是三個欄位應該只有期限是打綠色勾勾的..其他的都是黃色的驚嘆號吧..
仔細一看就是到他講的就是該憑證雖有效...證明是你的機器有SSL加密,但是該憑證並未受到第三者的驗證...
簡單說就是那個憑證是你自己發的...若有發生資料被盜取的話
你自己要負責...

本篇文章回覆於2003-04-02 13:39
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.