要说证书先要说说加密的形式 就分两种对称加密,非对称加密 还有一种形式也经常被人提及就是所谓的混合加密的概念其实

就是利用对称加密的速度优势与非对称加密的安全优势的一种结合,(一般工作也不会遇到)

clip_image001[4]

 

一。ca信任问题

1.如果CA与AD为同一台服务器,会自动应用策略与域成员建立信任关系。

2.如果CA与AD不为同一台服务器,需要在AD中使用组策略把CA中的公钥推下去 添加信任。

3.没有加域的客户端只能通过手动申请的方式。或者拷贝公钥手动添加进去。

二。用户身份验证问题

对于需要使用iis申请用户证书时候 在部署caWeb注册的时候要勾选基本身份验证(为iis申请证书时提供验证方式)在tmg对外发布 证书的时候 没有用户的身份验证,是无法完成跳转的。

三。crl问题

关于crl地址的问题,对于要在外网使用https 证书加密的问题,证书也是要发布出去的,确切的说是证书crl 吊销列列表也是要发布出去的。

三。多域名证书问题。

默认一个证书只能绑定一个域名,但是对于需要多域名的,例如(exchange多域名证书可以在申请exchange证书时候写进去,网站多域名证书,rds部署不同角色部署不同机器,需要多域名证书)。这些都是可以在复制计算机模板以后申请证书时候写进去的。

最后说下重点就是证书的吊销列表的发布:

第一种

1证书服务器右键属性-拓展。选择crl分发点cdp 发布

clip_image001[6]

2 需要把证书也分发出去做验证

2

说明第一种方法,会把ca证书的服务器名称作为域名分发出去,如果要想自定义访问ca的域名就需要第二种方法。

第二种:

1 打开iis查看默认证书的吊销列表的存储情况。在ca拓展中添加http的新的吊销地址。http://域名/吊销列表文件名\吊销列表文件名称

clip_image002

3.填写好以后发布一下

clip_image003

4.添加有权信息访问AIA http://域名/吊销列表文件夹\吊销证书全名        然后 发布出去。

clip_image004

重启证书服务,重新发布吊销列表机器新增的更改,对于以前的证书 不会生效,如果需要可以把以前的证书删除然后再重新申请。