WindowsServer 项目实 *** （4）CA证书

证书和CA的区别？

CA证书颁发机构：是Windows Server中自带的服务，安装CA服务器成为证书服务器，CA可以颁发证书。

证书：证书服务器生成的一个文件（工具），使用此文件（工具）可以实现加密等功能。

一般来说，推荐去供应商买证书，这样可以全网认，如果是自己颁发的证书，基本只能在DC中使用！
CA证书部署

———————————————————————————————————————

实战：使用CA证书加密网站

1新建一个indexhtml网站

2申请证书

把证书存储到桌面，方便等会申请

打开证书申请网站 >

一般的CA证书，可以直接在WINDOWS上生成。通过点对点原理，实现数据的传输加密和身份核实功能。

服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球webTrust证书联盟的备份和核实后，生成的CA证书。网站能在IE浏览器上直接显示“安全锁”，和显示证书信息。高级的版本能在浏览器地址栏变绿色，是目前全球最有效果的身份核实、信息加密工具。

服务器证书和CA证书是否一样

本质上是一样的，只是不同的名字。前者是从技术角度命名，后者是从用途角度命名的，都是为网站的机密数据提供加密传输功能，从而确保机密信息的机密性、完整性和不可否认性。

通过网银交易时，如遇“31455，CA服务器返回错误，有效的证书个数超过需求”提示，请您携带本人有效身份z件、开通网银的yhk到全国任意营业网点查看是否有两个证书介质号；如有，那么通过营业网点将多余的证书信息删除后即可交易。

pki证书生成不需要联网。
如果CA服务器不支持SCEP协议，可以配置离线申请本地证书。用户在设备上生成证书请求文件，然后通过Web、磁盘、电子邮件等带外方式将证书申请文件发送给CA，向CA申请本地证书。完成申请后，还需从存放本地证书的服务器上下载证书，保存到设备的存储介质中。
*** 作步骤：
执行命令system-view，进入系统视图。
执行命令pki realm realm-name，创建PKI域并进入PKI域视图，或者直接进入PKI域视图。
缺省情况下，设备存在名称为default的PKI域，且该域只能修改不能删除。
PKI域是一个本地概念，一个设备上配置的PKI域对CA和其他设备是不可见的，每一个PKI域有单独的参数配置信息。
执行命令entity entity-name，指定申请证书的PKI实体。
缺省情况下，系统未指定申请证书的PKI实体。
entity-name是一个已经通过pki entity命令创建的PKI实体。
执行命令rsa local-key-pair key-name，配置使用离线方式申请证书时使用的RSA密钥对。
缺省情况下，系统未配置使用离线方式申请证书时使用的RSA密钥对。
执行命令enrollment-request signature message-digest-method { md5 | sha1 | sha-256 | sha-384 | sha-512 }，配置签名证书注册请求消息使用的摘要算法。
缺省情况下，签名证书注册请求消息使用的摘要算法为sha-256。
md5和sha1算法为不安全算法，建议使用SHA2算法。
PKI实体使用的摘要算法必须与CA服务器上的摘要算法一致。（可选）执行命令key-usage { ike | ssl-client | ssl-server } ，配置证书公钥用途属性。
缺省情况下，系统未配置证书公钥用途属性。

执行命令quit，返回至系统视图。
执行命令pki file-format { der | pem }，配置设备保存证书和证书请求时的文件格式。
缺省情况下，设备保存证书和证书请求时的文件格式为PEM。

执行命令pki enroll-certificate realm realm-name pkcs10 [ filename filename ] [ password password ]，配置以PKCS#10格式保存证书申请信息到文件中。
PKI实体使用的挑战密码必须与CA服务器上设置的密码一致。如果CA服务器不要求使用挑战密码，则不用配置挑战密码。

通过Web、磁盘、电子邮件等带外方式将证书申请文件发送给CA，向CA申请本地证书。

一般的CA证书，可以直接在WINDOWS上生成。通过点对点原理，实现数据的传输加密和身份核实功能。CA服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球webTrust证书联盟的备份和核实后，生成的CA证书。网站能在IE浏览器上直接显示“安全锁”，和显示证书信息。高级的版本能在浏览器地址栏变绿色，是目前全球最有效果的身份核实、信息加密工具。 CA证书的生成简单免费，而CA服务器证书成本较高，一般在5000-20000元/年，所以需要此服务的企业或机构以金融类行业为首。如果企业需要CA服务器证书来杜绝钓鱼网站的侵害，可以选择安信保认证标识，它集成了服务器证书服务。是目前看到最便宜的了，比较适合企业使用。

如何配置fabric-ca-server和fabric-ca-client之间的TLS连接。

首先我觉得这个功能很鸡肋，在实际应用中很少配置成enable TLS的，因为本身fabric CA就是用来管理证书(msp和tls)；如果fabric CA要启用TLS，那么又得从别的CA服务器上签出一份TLS证书来，就绕来绕去了。

fabric-ca-server-configyaml文件里面配置TLS。

fabric-ca-client-configyaml

包含

除了使用yaml文件配置，server和client也可以在命令行配置TLS信息：

Server：

Client:

详细资料可自行搜索：Fabric-CA server CLI和Fabric-CA client CLI。

---