服务器根证书

1、根证书有什么作用

就是保障信息交换、支付安全的。不下载，理论上来说，被黑或者钓鱼的可能性就加大了。

电脑在与服务器交换敏感信息时会使用一种叫做SSL的加密方式。在很多情况下，交换敏感信息必须要通过这个方式来进行。包括12306在内，淘宝、京东等在交换敏感信息的时候都使用了SSL进行加密。
那么，我们怎么知道网站是否使用了SSL加密呢？最简单的办法就是看看地址栏——如果网址前面写的是“https://”，那么这个页面就是使用SSL加密的。这意味着你访问的页面是安全的并且可以用来交换敏感信息。
但是，谁又能保证https的安全呢？这里就又是一个概念：数字证书认证机构。它的译名很多，不过大致意思对就可以了。英文Certificate Authority，经常被缩写为CA。
CA是一个机构——打个比方，这就像是信用卡一样。一个人向银行申请信用卡，就像网站向CA申请证书。CA觉得网站的信用合格，就签发SSL证书；银行觉得申请者的信用合格，就签发信用卡。等等，什么又是“SSL证书”呢？这就是CA签发给网站用以证明网站身份的“信用卡”。有了SSL证书，加密网页才能被信任。当你在访问一个被https加密的网页时，网页会出示一份证书，这份证书有助于用户信任这个网站。没有正规CA签发的证书的网站是不会受到浏览器的信任的——就算你用了SSL来加密也没用。
浏览器又上哪知道CA是正规的呢？那就是根证书库，这是一个操作系统认为可以被信任的CA的名单。几乎每个能上网操作系统都有一个。
SSL加密的目的除了保证用户信息在传输过程中的安全外，还保障了服务器的身份。有些简单的SSL证书仅仅需要用该网站域名的邮箱向CA发封邮件就能签发了——不过如果是一个组织、团体、基金会或者盈利性机构（尤其是类似于支付宝或者PayPal的网络支付服务），那么SSL证书的签发就会变得十分繁琐。网站需要提供大量的文件以证明该网站是可靠的。如果能够证明该网站是可靠的，CA才会给签发证书。
总而言之，SSL证书的目的有两个：
确保网站和用户之间的数据是加密并且可靠的
确保网站所宣称身份的真实可靠

2、在web浏览器 端使用根CA证书

CA根证书一般比较宝贵，一般使用的是中级证书或者ssl客户端证书。你问的应该是如何安装ssl证书的问题，网页链接 具体安装方法看这里，很详细~

3、Chrome浏览器总是提醒该网站的安全证书不受信任!

将安全证书存储为个人即可。操作如下：

1、首先打开chrome浏览器，点击右上角版的设置按钮；

2、在打开的设置页权面内选择“管理证书”；

3、点击“导入”；

4、在Go Agent安装目录文件中导入证书；

5、然后勾选“将所有的证书都放入下列存储”，存储为“个人”；

6、导入成功，重新打开网站就不会提示证书不受信任了。

4、windows server2008 ca证书服务无法选择"企业"安装类型怎么办

Windows server 2008安装企业CA证书服务
CA（证书颁发机构）
为了保证网络上信息的传输安全，除了在通信中采用更强的加密算法等措施外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书，证书的主体可以是用户、计算机、服务等。证书可以用于多方面，例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性，从而保障网络应用的安全性。
提示：CA分为两大类，企业CA和独立CA；
企业CA的主要特征如下：
1）企业CA安装时需要AD（活动目录服务支持），即计算机在活动目录中才可以。
2.当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域；
3.必须是域管理员或对AD有写权限的管理员，才能安装企业根CA；
独立CA主要以下特征:
1.CA安装时不需要AD（活动目录服务）。
2 .情况下，发送到独立CA的所有证书申请都
被设置为挂起状态，需要管理员受到颁发。
这完全出于安全性的考虑，因为证书申请者
的凭证还没有被独立CA验证；
在简单介绍完CA的分类后，我们现在AD
（活动目录）环境下安装证书服务；
具体步骤如下：
1.域控制器上，在管理工具—服务器管理器—角色—打开添加角色向导—添加角色；AD安装服务；

2.点击—下一步，在选择角色服务中选择证书颁发机构和证书颁发机构Web注册；

3.在指定安装类型中选择”企业”，单击’下一步’；

4.在“CA类型中选择根CA”，单击下一步；

5.在设置私钥窗口中选择“新建私钥”，单击下一步；

6.在配置加密窗口，使用默认的加密服务程序、哈希算法和密钥长度，单击“下一步”；

7.选择按指导项单击“下一步”到确认—安装;

8.安装完成后，从管理工具中可以看到“Certification Authority”打开证书颁发机构管理器，管理证书的颁发；

9.为web站点应用证书前必须生成证书，用以标识证书应用于哪个站点，打开Insternet信息服务管理器中—打开—服务器证书；

10.打开后，首先先创建证书申请；在分辨名称属性窗口中通用名称可以是IP或者域名；其他设置根据需求填写；

11.在文件名窗口，为该证书申请指定一个文件名和保存路径单击完成创建证书申请；

12.打开证书申请文件C:\Users\Administrator\Desktop\qiangmeng.txt，可见证书申请文件时Base64编码，复制全部编码，提示：不能随意改动:

13.在申请到文件编码后，现在应该提交所申请的证书，在浏览器中输入：http://192.168.1.1/certsrv,单击申请证书；

14.点击—申请证书进去后，选择高级证书申请；

15.在“提交一个证书申请或续订申请”页面，将复制的证书内容粘贴到，‘保存的申请’区域中，证书模板选择“web服务器”；

16.进入后，选择使用base64编码的文件提交一个申请；下载证书；为证书选择存放路径；

17.下载完成后，打开insternet信息服务管理—服务器证书—完成申请；

18.将申请的证书导入服务器；

19.完成后，在Insternet信息服务管理上新添加站点，在绑定类型中选择https；SSL证书选择申请的证书；

20.在SSL设置上要求应用SSL；选择此项后用户都只能以https方式访问连接站点；

21.在设置完成后，可以通过在用户计算机上HTTPS协议访问网站；测试使用域名进行访问；

注：证书只有在指定的期限内才有效，
每个证书都包含起始日期和有效终止日
期。一旦过了证书的有效期，到期证书
的使用者就必须重新申请一个新的证书

补充：
1.安装证书服务器，windows2008 在AD证书服务处添加独立根
2.使用IP为通用名(通用名与浏览器中地址栏输入的域名一致)
3.在IIS中申请证书，然后将文本中的内容黏贴到，由http://localhost/certsrv中新建的证书中
4.在IIS默认网站中绑定443端口且证书（SSL）选择你生成的那个
5.http://localhost/certsrv中下载证书到客户端，然后安装到受信任的根证书发布者（IE是检测server的证书是否是在根发布处的，以去人其是否合法）

5、如果根证书服务器起不来的话,迁移工作如何进行,迁移后证书是否还可用

根证书通常是离线的，签发证书的工作一般由中级根通过RA来完成。直接专用根证书来签属发终端用户证书在CA业界被普遍认为是不安全的。根证书服务器起不来，应该暂时不影响用户证书的签发。
在搭CA系统的时候，根证书按要求是必须要在加密卡里做备份的。如果备份没有做，先确认下服务器起不来是硬件问题还是系统问题。
硬件问题就更换硬件，系统问题可以尝试系统恢复。如果软硬件排查的工作都尝试过，还是无法恢复，根密钥也没有做恢复。。。那就只有新建一个根证书了！
新建的根证书可以跟原有的中级根证书做交叉认证，就是拿新的根对原有的中级根重新做签名。这样已经签发的证书无论在新根下面还是在老的根下面都是受信的。经过一段时间的缓冲，可以平滑的将老的根证书切换到新根下面。一般CA业界更新根证书也都是这么操作的。
推荐一下，用天威诚信的服务模式，建一个托管的CA系统。不必自建一套CA系统，也能够在本地使用证书注册服务器。

6、客户器端如果没有安装认可服务器证书的根证书链,能否正常浏览网页

应该不能吧，a）没有受信任的根证书，浏览器可能不会信任证书，b）没有安装证书可能无法正常浏览。关于服务器证书（ssl证书）或者客户端证书，咨询GDCA比较专业点。

7、根不预埋的服务器证书有什么隐患

由于实施了《电来子 签名法》，国内机自构 在颁发合法的客户端证书的同时，开展服务器证书 业务，如果该类服务器证书用于内部应用，可以实现相应的安全应用，但对于互联网应用服务，却存在极大的安全风险和隐患。从本质来讲，
非根内置的服务器证书和自签名证书有同样的风险，
钓鱼网站在伪造服务器证书的同时可以伪造第三方机构的根证书。而由于这种伪造造成的损失，服务提供商和第三方机构间的责任划分存在明显的隐患。
所以选服务器证书还是要选根预埋的，让IE自动识别。
北京天威诚信的verisign服务器证书就是根预埋的。

8、数字证书验证过程(根证书 服务器证书 用户证书）

你的概念理解得有点错误。

根证书是指根CA证书，是信任的源头。根证书是自签发证书，就是自己签发自己，要不为何叫做根？
CA证书包括根CA证书、二级CA证书、三级。。。
CA证书不参与通信，只有服务器证书和用户证书等参与通信过程的建立。

不是证书之间建立通信，而是通过通信协议在通信的建立过程中使用到了证书，如SSL协议，具体如何建立通信过程，请参见SSL的握手协议。

服务器证书和用户证书，即使不是一个CA签发的，也可以使用证书达到互相通信的目的。只需要进行配置做到相互信任对方的CA证书即可。

你还需要进一步理清概念。。。

9、如何从user.p7b,导出base64格式的根证和服务器证书，需要详细步骤？

很简单，你复双击user.p7b，打开制证书-当前用户下拉菜单，选中对应文件夹，然后里面有个证书的文件夹，里面应该有几个证书，看一下对应的是哪一级。一般域名或者IP的是服务器证书，右键点击它，然后点击所有任务，点击导出然后点击下一步，选择base64格式，也就是cer格式。导出根证书操作一样。请采纳。

10、ca证书和服务器证书区别

一般的抄CA证书，可以直接在WINDOWS上生成。通过点对点原理，实现数据的传输加密和身份核实功能。CA服务器证书，是必须安装在服务器中，由服务器的软硬件信息生成的CSR文件，通过在微软和全球webTrust证书联盟的备份和核实后，生成的CA证书。网站能在IE浏览器上直接显示“安全锁”，和显示证书信息。高级的版本能在浏览器地址栏变绿色，是目前全球最有效果的身份核实、信息加密工具。 CA证书的生成简单免费，而CA服务器证书成本较高，一般在5000-20000元/年，所以需要此服务的企业或机构以金融类行业为首。如果企业需要CA服务器证书来杜绝钓鱼网站的侵害，可以选择安信保认证标识，它集成了服务器证书服务。是目前看到最便宜的了，比较适合企业使用。