伺服器根證書

1、根證書有什麼作用

就是保障信息交換、支付安全的。不下載，理論上來說，被黑或者釣魚的可能性就加大了。

電腦在與伺服器交換敏感信息時會使用一種叫做SSL的加密方式。在很多情況下，交換敏感信息必須要通過這個方式來進行。包括12306在內，淘寶、京東等在交換敏感信息的時候都使用了SSL進行加密。
那麼，我們怎麼知道網站是否使用了SSL加密呢？最簡單的辦法就是看看地址欄——如果網址前面寫的是「https://」，那麼這個頁面就是使用SSL加密的。這意味著你訪問的頁面是安全的並且可以用來交換敏感信息。
但是，誰又能保證https的安全呢？這里就又是一個概念：數字證書認證機構。它的譯名很多，不過大致意思對就可以了。英文Certificate Authority，經常被縮寫為CA。
CA是一個機構——打個比方，這就像是信用卡一樣。一個人向銀行申請信用卡，就像網站向CA申請證書。CA覺得網站的信用合格，就簽發SSL證書；銀行覺得申請者的信用合格，就簽發信用卡。等等，什麼又是「SSL證書」呢？這就是CA簽發給網站用以證明網站身份的「信用卡」。有了SSL證書，加密網頁才能被信任。當你在訪問一個被https加密的網頁時，網頁會出示一份證書，這份證書有助於用戶信任這個網站。沒有正規CA簽發的證書的網站是不會受到瀏覽器的信任的——就算你用了SSL來加密也沒用。
瀏覽器又上哪知道CA是正規的呢？那就是根證書庫，這是一個操作系統認為可以被信任的CA的名單。幾乎每個能上網操作系統都有一個。
SSL加密的目的除了保證用戶信息在傳輸過程中的安全外，還保障了伺服器的身份。有些簡單的SSL證書僅僅需要用該網站域名的郵箱向CA發封郵件就能簽發了——不過如果是一個組織、團體、基金會或者盈利性機構（尤其是類似於支付寶或者PayPal的網路支付服務），那麼SSL證書的簽發就會變得十分繁瑣。網站需要提供大量的文件以證明該網站是可靠的。如果能夠證明該網站是可靠的，CA才會給簽發證書。
總而言之，SSL證書的目的有兩個：
確保網站和用戶之間的數據是加密並且可靠的
確保網站所宣稱身份的真實可靠

2、在web瀏覽器 端使用根CA證書

CA根證書一般比較寶貴，一般使用的是中級證書或者ssl客戶端證書。你問的應該是如何安裝ssl證書的問題，網頁鏈接 具體安裝方法看這里，很詳細~

3、Chrome瀏覽器總是提醒該網站的安全證書不受信任!

將安全證書存儲為個人即可。操作如下：

1、首先打開chrome瀏覽器，點擊右上角版的設置按鈕；

2、在打開的設置頁權面內選擇「管理證書」；

3、點擊「導入」；

4、在Go Agent安裝目錄文件中導入證書；

5、然後勾選「將所有的證書都放入下列存儲」，存儲為「個人」；

6、導入成功，重新打開網站就不會提示證書不受信任了。

4、windows server2008 ca證書服務無法選擇"企業"安裝類型怎麼辦

Windows server 2008安裝企業CA證書服務
CA（證書頒發機構）
為了保證網路上信息的傳輸安全，除了在通信中採用更強的加密演算法等措施外，必須建立一種信任及信任驗證機制，即通信各方必須有一個可以被驗證的標識，這就需要使用數字證書，證書的主體可以是用戶、計算機、服務等。證書可以用於多方面，例如Web用戶身份驗證、web伺服器身份驗證、安全電子郵件等。安裝證書確保望上傳遞信息的機密性、完整性、以及通信雙方身份的真實性，從而保障網路應用的安全性。
提示：CA分為兩大類，企業CA和獨立CA；
企業CA的主要特徵如下：
1）企業CA安裝時需要AD（活動目錄服務支持），即計算機在活動目錄中才可以。
2.當安裝企業根時，對於域中的所用計算機，它都將會自動添加到受信任的根證書頒發機構的證書存儲區域；
3.必須是域管理員或對AD有寫許可權的管理員，才能安裝企業根CA；
獨立CA主要以下特徵:
1.CA安裝時不需要AD（活動目錄服務）。
2 .情況下，發送到獨立CA的所有證書申請都
被設置為掛起狀態，需要管理員受到頒發。
這完全出於安全性的考慮，因為證書申請者
的憑證還沒有被獨立CA驗證；
在簡單介紹完CA的分類後，我們現在AD
（活動目錄）環境下安裝證書服務；
具體步驟如下：
1.域控制器上，在管理工具—伺服器管理器—角色—打開添加角色向導—添加角色；AD安裝服務；

2.點擊—下一步，在選擇角色服務中選擇證書頒發機構和證書頒發機構Web注冊；

3.在指定安裝類型中選擇」企業」，單擊』下一步』；

4.在「CA類型中選擇根CA」，單擊下一步；

5.在設置私鑰窗口中選擇「新建私鑰」，單擊下一步；

6.在配置加密窗口，使用默認的加密服務程序、哈希演算法和密鑰長度，單擊「下一步」；

7.選擇按指導項單擊「下一步」到確認—安裝;

8.安裝完成後，從管理工具中可以看到「Certification Authority」打開證書頒發機構管理器，管理證書的頒發；

9.為web站點應用證書前必須生成證書，用以標識證書應用於哪個站點，打開Insternet信息服務管理器中—打開—伺服器證書；

10.打開後，首先先創建證書申請；在分辨名稱屬性窗口中通用名稱可以是IP或者域名；其他設置根據需求填寫；

11.在文件名窗口，為該證書申請指定一個文件名和保存路徑單擊完成創建證書申請；

12.打開證書申請文件C:\Users\Administrator\Desktop\qiangmeng.txt，可見證書申請文件時Base64編碼，復制全部編碼，提示：不能隨意改動:

13.在申請到文件編碼後，現在應該提交所申請的證書，在瀏覽器中輸入：http://192.168.1.1/certsrv,單擊申請證書；

14.點擊—申請證書進去後，選擇高級證書申請；

15.在「提交一個證書申請或續訂申請」頁面，將復制的證書內容粘貼到，『保存的申請』區域中，證書模板選擇「web伺服器」；

16.進入後，選擇使用base64編碼的文件提交一個申請；下載證書；為證書選擇存放路徑；

17.下載完成後，打開insternet信息服務管理—伺服器證書—完成申請；

18.將申請的證書導入伺服器；

19.完成後，在Insternet信息服務管理上新添加站點，在綁定類型中選擇https；SSL證書選擇申請的證書；

20.在SSL設置上要求應用SSL；選擇此項後用戶都只能以https方式訪問連接站點；

21.在設置完成後，可以通過在用戶計算機上HTTPS協議訪問網站；測試使用域名進行訪問；

註：證書只有在指定的期限內才有效，
每個證書都包含起始日期和有效終止日
期。一旦過了證書的有效期，到期證書
的使用者就必須重新申請一個新的證書

補充：
1.安裝證書伺服器，windows2008 在AD證書服務處添加獨立根
2.使用IP為通用名(通用名與瀏覽器中地址欄輸入的域名一致)
3.在IIS中申請證書，然後將文本中的內容黏貼到，由http://localhost/certsrv中新建的證書中
4.在IIS默認網站中綁定443埠且證書（SSL）選擇你生成的那個
5.http://localhost/certsrv中下載證書到客戶端，然後安裝到受信任的根證書發布者（IE是檢測server的證書是否是在根發布處的，以去人其是否合法）

5、如果根證書伺服器起不來的話,遷移工作如何進行,遷移後證書是否還可用

根證書通常是離線的，簽發證書的工作一般由中級根通過RA來完成。直接專用根證書來簽屬發終端用戶證書在CA業界被普遍認為是不安全的。根證書伺服器起不來，應該暫時不影響用戶證書的簽發。
在搭CA系統的時候，根證書按要求是必須要在加密卡里做備份的。如果備份沒有做，先確認下伺服器起不來是硬體問題還是系統問題。
硬體問題就更換硬體，系統問題可以嘗試系統恢復。如果軟硬體排查的工作都嘗試過，還是無法恢復，根密鑰也沒有做恢復。。。那就只有新建一個根證書了！
新建的根證書可以跟原有的中級根證書做交叉認證，就是拿新的根對原有的中級根重新做簽名。這樣已經簽發的證書無論在新根下面還是在老的根下面都是受信的。經過一段時間的緩沖，可以平滑的將老的根證書切換到新根下面。一般CA業界更新根證書也都是這么操作的。
推薦一下，用天威誠信的服務模式，建一個託管的CA系統。不必自建一套CA系統，也能夠在本地使用證書注冊伺服器。

6、客戶器端如果沒有安裝認可伺服器證書的根證書鏈,能否正常瀏覽網頁

應該不能吧，a）沒有受信任的根證書，瀏覽器可能不會信任證書，b）沒有安裝證書可能無法正常瀏覽。關於伺服器證書（ssl證書）或者客戶端證書，咨詢GDCA比較專業點。

7、根不預埋的伺服器證書有什麼隱患

由於實施了《電來子 簽名法》，國內機自構 在頒發合法的客戶端證書的同時，開展伺服器證書 業務，如果該類伺服器證書用於內部應用，可以實現相應的安全應用，但對於互聯網應用服務，卻存在極大的安全風險和隱患。從本質來講，
非根內置的伺服器證書和自簽名證書有同樣的風險，
釣魚網站在偽造伺服器證書的同時可以偽造第三方機構的根證書。而由於這種偽造造成的損失，服務提供商和第三方機構間的責任劃分存在明顯的隱患。
所以選伺服器證書還是要選根預埋的，讓IE自動識別。
北京天威誠信的verisign伺服器證書就是根預埋的。

8、數字證書驗證過程(根證書 伺服器證書 用戶證書）

你的概念理解得有點錯誤。

根證書是指根CA證書，是信任的源頭。根證書是自簽發證書，就是自己簽發自己，要不為何叫做根？
CA證書包括根CA證書、二級CA證書、三級。。。
CA證書不參與通信，只有伺服器證書和用戶證書等參與通信過程的建立。

不是證書之間建立通信，而是通過通信協議在通信的建立過程中使用到了證書，如SSL協議，具體如何建立通信過程，請參見SSL的握手協議。

伺服器證書和用戶證書，即使不是一個CA簽發的，也可以使用證書達到互相通信的目的。只需要進行配置做到相互信任對方的CA證書即可。

你還需要進一步理清概念。。。

9、如何從user.p7b,導出base64格式的根證和伺服器證書，需要詳細步驟？

很簡單，你復雙擊user.p7b，打開制證書-當前用戶下拉菜單，選中對應文件夾，然後裡面有個證書的文件夾，裡面應該有幾個證書，看一下對應的是哪一級。一般域名或者IP的是伺服器證書，右鍵點擊它，然後點擊所有任務，點擊導出然後點擊下一步，選擇base64格式，也就是cer格式。導出根證書操作一樣。請採納。

10、ca證書和伺服器證書區別

一般的抄CA證書，可以直接在WINDOWS上生成。通過點對點原理，實現數據的傳輸加密和身份核實功能。CA伺服器證書，是必須安裝在伺服器中，由伺服器的軟硬體信息生成的CSR文件，通過在微軟和全球webTrust證書聯盟的備份和核實後，生成的CA證書。網站能在IE瀏覽器上直接顯示「安全鎖」，和顯示證書信息。高級的版本能在瀏覽器地址欄變綠色，是目前全球最有效果的身份核實、信息加密工具。 CA證書的生成簡單免費，而CA伺服器證書成本較高，一般在5000-20000元/年，所以需要此服務的企業或機構以金融類行業為首。如果企業需要CA伺服器證書來杜絕釣魚網站的侵害，可以選擇安信保認證標識，它集成了伺服器證書服務。是目前看到最便宜的了，比較適合企業使用。