1. 验证网站是否可信(https) 众所周知,https协议除了有加密机制,还有一套证书机制,通过证书来确保某个站点就是某个站点,使站点伪造无所遁形。
有了证书之后,当你的浏览器在访问某个 HTTPS 网站时,会验证该站点上的 CA 证书(类似于验证介绍信的公章)。如果浏览器发现该证书没有问题(证书被某个根证书信任、证书上绑定的域名和该网站的域名一致、证书没有过期),那么页面就直接打开;否则的话,浏览器会给出一个警告,告诉你该网站的证书存在某某问题,是否继续访问该站点。
大多数知名的网站,如果用了 HTTPS 协议,其证书都是可信的(也就不会出现上述警告)。所以,今后你如果上某个知名网站,发现浏览器跳出上述警告,你就要小心啦!
2. 验证文件是否可信(是否篡改)
证书除了可以用来验证某个网站,还可以用来验证某个文件是否被篡改。具体是通过证书来制作文件的数字签名,详细制作方法多种多样,此处不展开。
一般只要会查看数字签名是否正常即可,如果出现下图的无效数字签名,那么文件可能被人篡改过(植入木马、感染病毒等)
二、架设独立的CA证书服务器
为什么要自己签发安全证书呢?因为一些受信任机构颁发的证书年费通常不菲,而且有些时候公司或者组织内部小范围使用的话没有信任问题,这时就可以自己签发一个安全证书。
但是,自签名证书有很多弊端,公司内网也在逐步淘汰,一般不建议使用;如果使用,也是配合ad域一起。
下面将介绍如何安装CA证书服务器。
1.安装证书服务
在域成员服务器上打开服务器管理器,选择角色功能
添加证书服务
添加证书颁发机构web注册
2. 配置目标服务器上的ad证书服务
配置管理帐号,需要归属域账号的admin组
选择证书颁发机构及web注册
指定为域CA
指定为根证书,一般企业不会建很复杂的从ca架构的
创建证书私钥并选择加密算法
指定CA颁发机构名称,一般可填写项目/企业名
设置过期时间,按需设置
配置完成
三、证书使用
(待填。。。)