分发证书
一个组织需要为客户或者厂商提供证书,有三个条件。首先,它可以创建自己的内部CA,以满足它自己的安全和可用性需要。第二,它可以将它的CA需求输出给第三方,例如VeriSign或者Thawte。第三,它可以与一个第三方的CA建立一个相连的CA,这样可允许该组织为终端用户建立证书,同时也可以保障第三方CA的安全性。
例如,一个厂商可能决定为它的员工建立证书,而办公室处于三个不同的州,或者一个顾问公司要为它的卖方建立证书以控制访问公司的外部网。这个例子中,该组织可以选择领先的厂商,例如BBN (GTE), Chrysalis或者Atalla购买安全的key管理硬件,或者选择购买证书授权软件,例如Microsoft, Xcert, 或者Nortel Entrust的。这些技术可以允许该组织根据其需要,建立一定安全级别的包含有客户信息的证书。
不幸的是,大多数的浏览器在开始的时候都不认识这些证书。每个需要检验证书可信性(这些证书由内部的CA建立)的浏览器都将需要被修改,以在签署证书的时候响应该组织的root key。这意味着每个Microsoft Internet Explorer, Microsoft Outlook和Netscape Communicator的拷贝都需要加入该组织CA的root key,而且必须在数据被这些证书签名前加入,这样它们才可以被信任。在一个小的或者可控制的环境下,这是没有问题的。不过在一个异类、多平台的环境下,例如Internet,这是不可能的。
一个相连的证书程序允许一个第三方的CA传送全部和第三方CA相关的信任到该组织的CA。所有信任第三方CA提供的数字证书的软件将会立刻信任相连CA建立的证书。
安装和设置证书服务
证书授权服务器是Windows 2000 Server的一个附件,它放在Windows 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书,从而可让你的组织完全控制它自己的证书管理策略。
它包含了一个向导来设置安装。要注意的是:你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。
要使用常用的设置选项来安装证书授权服务器附件,你可以使用以下的步骤:
1。将Windows 2000 Server CD-ROM放入光驱,然后选择Install Add-on Components.
2。Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会马上看到一个对话框,提示你一旦安装证书服务,该计算机将不能重命名,也不能加入或者由一个域中移走。
在选择YES来继续前,你应该考虑一下以下几点:
。由于在安装证书服务后,除非你重新安装Windows 2000,否则你将不能修改计算机的名字,因此你需要确保你对当前的名字感到满意,或者在继续前先换一个名字。
。由于在安装证书服务后,你将不能令计算机加入到一个域或者将它由域中移走,你将需要确保你对当前域或者子域的名字感到满意,否则在继续前先换一个名字。
。在继续前你要确保计算机加入到适当的域中
3。接着,在Windows组件向导中选择证书授权类型,有四种类型:
Enterprise root CA
Enterprise subordinate CA
Stand-alone root CA
Stand-alone subordinate CA
