Chinaunix首页 | 论坛 | 博客
  • 博客访问: 593377
  • 博文数量: 805
  • 博客积分: 4000
  • 博客等级: 上校
  • 技术积分: 5000
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-17 14:22
文章分类

全部博文(805)

文章存档

2011年(1)

2008年(804)

我的朋友

分类:

2008-10-17 14:23:22


   分发证书
  
    一个组织需要为客户或者厂商提供证书,有三个条件。首先,它可以创建自己的内部CA,以满足它自己的和可用性需要。第二,它可以将它的CA需求输出给第三方,例如VeriSign或者Thawte。第三,它可以与一个第三方的CA建立一个相连的CA,这样可允许该组织为终端用户建立证书,同时也可以保障第三方CA的性。
  
    例如,一个厂商可能决定为它的员工建立证书,而办公室处于三个不同的州,或者一个顾问公司要为它的卖方建立证书以控制访问公司的外部网。这个例子中,该组织可以选择领先的厂商,例如BBN (GTE), Chrysalis或者Atalla购买安全的key管理硬件,或者选择购买证书授权软件,例如Microsoft, Xcert, 或者Nortel Entrust的。这些技术可以允许该组织根据其需要,建立一定安全级别的包含有客户信息的证书。
  
    不幸的是,大多数的浏览器在开始的时候都不认识这些证书。每个需要检验证书可信性(这些证书由内部的CA建立)的浏览器都将需要被修改,以在签署证书的时候响应该组织的root key。这意味着每个Microsoft Internet Explorer, Microsoft Outlook和Netscape Communicator的拷贝都需要加入该组织CA的root key,而且必须在数据被这些证书签名前加入,这样它们才可以被信任。在一个小的或者可控制的环境下,这是没有问题的。不过在一个异类、多平台的环境下,例如Internet,这是不可能的。
  
    一个相连的证书程序允许一个第三方的CA传送全部和第三方CA相关的信任到该组织的CA。所有信任第三方CA提供的数字证书的软件将会立刻信任相连CA建立的证书。
  
    安装和设置证书服务
  
    证书授权是 2000 Server的一个附件,它放在 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建证书,从而可让你的组织完全控制它自己的证书管理策略。
  
    它包含了一个向导来设置安装。要注意的是:你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。
  
    要使用常用的设置选项来安装证书授权服务器附件,你可以使用以下的步骤:
  
    1。将Windows 2000 Server CD-ROM放入光驱,然后选择Install Add-on Components.
  
    2。Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会马上看到一个对话框,提示你一旦安装证书服务,该计算机将不能重命名,也不能加入或者由一个域中移走。
  
    在选择YES来继续前,你应该考虑一下以下几点:
  
    。由于在安装证书服务后,除非你重新安装Windows 2000,否则你将不能修改计算机的名字,因此你需要确保你对当前的名字感到满意,或者在继续前先换一个名字。
  
    。由于在安装证书服务后,你将不能令计算机加入到一个域或者将它由域中移走,你将需要确保你对当前域或者子域的名字感到满意,否则在继续前先换一个名字。
  
    。在继续前你要确保计算机加入到适当的域中
  
    3。接着,在Windows组件向导中选择证书授权类型,有四种类型:
  
    Enterprise root CA
  
    Enterprise subordinate CA
  
    Stand-alone root CA
  
    Stand-alone subordinate CA
  
  
【责编:admin】

--------------------next---------------------

阅读(427) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~