[转]PKI应用

转自[http://www.cnblogs.com/wmj/archive/2008/12/09/1351371.html]

    因系统安全需要，最近给系统配置了CA证书，服务器SSL证书和客户证书，下面是我个人的一些体验。

环境

CA证书服务器--windows2003

Web服务器-- windows2003+IIS6

Client--IE

 

具体的配置，就不说了，因为不同的证书和证书服务器，稍微有点区别，但有些基本知识还是必须了解的。

1，加密方式分，对称加密和非对称加密（一般的证书都是非对称加密，注意是一般，这要看证书的加密设计了）。

2，对称加密时，服务器和客户端使用同一把私钥，非对称加密使用一对私钥和公钥。

3，公钥一般用来加密，私钥一般解密。

4，公钥需要分发给对方，比如，客户端用服务器的公钥加密，服务器用客户端的公钥加密，然后各自用自己的私钥解密。

5，服务器端和客户端都需要安装CA服务器的根证书到各自的”受信用的根证书颁发机构“，来标识自己是来自这个CA颁发的证书。

比如

6，一个误区，一直以来我都认为，客户证书一定要到CA证书服务器上去认证；其实不然，CA服务器证书的主要目的是颁发服务器证书和客户证书（当然，还可以颁一些杂七杂八的证书），真正的认证的地方，是在Web服务器上（比如IIS），如果不信，把CA证书服务器关机看看？

7，客户证书需要在Web服务器上先注册，然后再分发给客户使用（我也不太清楚，为什么要这样，知道的朋友请告诉我）

8，导出客户证书的时候，需要一并把他的私钥也导出，如果客户没有自己的私钥，那她拿什么解密呢？

9，最后，记得备份你的CA服务器上的私钥和所有证书（如果不小心，CA服务器挂了，那以前颁发的证书，就白忙活了）

 

 

效果

 

 

注意，在颁发服务器证书的时候，证书的名称一定要与Web服务器的域名一致，虽然认证能通过，但看起来，还是让人不放心^-^

 

 

 

客户端装了两个AjWmjCaRoot颁发的客户证书，所以我随便用哪个都行

 

OK，OK，希望对某些朋友有些帮助...