Windows server CA配置一.docx

1、Windows server CA配置一Windows server 2003 CA配置(一)CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。CA在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可

2、使用该证书。CRL：是被CA吊销的证书的列表。 基于WINDOWS的CA支持4种类型 企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。 企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属CA需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA 独立根CA：独立根CA是证书层次结构中的最高级CA。独

3、立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。 独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA证书，独立从属CA可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。下面来部署CA一台是独立根CA,一台是独立从属CA安装独立根CA选中应用程序服务器和证书服务.由于证书服务WEB注册支持需要依赖于IIS,所以要选中应用程序服务.点详细看一看点确定这里选独立根

4、CA并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位.如果不选允许此CSP与桌面交互系统服务就无法与当前用户的桌面进行交互.输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用.下面便开始安装了.安装到一定的时候会出现下面对话框默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.下面来安装独立从属CA同样选择应用程序服务器和证书服务这里选择独立从属CA并勾上.可以看到这里密钥长度默认是

5、1024位输入公用名称有效期限取决于父CA这里默认建立一个共享文件夹如果父CA在线可用,则选中将申请直接发送给网络上的CA.在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,则选中将申请保存到一个文件,并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.下面便开始安装了安装时会出现上面对话框,确定便是了.选是点完成下面来验证安装可以看到根CA有上面这些文件便安装成功也可以看服务有图中的服务便安装成功下面来看申请和颁发证书现在来登录从属CA,打开开始-所有程序-INTERNET EXPLORER.打开IE在地址栏中输入父CA的W

6、EB支持页面的URL.然后单击申请一个证书这里选高级证书申请选下面那条点浏览要插入的文件这个是在建立从属CA时所创建的然后点读取最后点提交这样便提交了一个证书申请然后在根CA上颁发证书可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.点证书右键,点颁发这样便在颁发证书下面又击证书便可以看到下面这里可以看到证书的一些信息下面来看获取并安装证书这里在从属CA上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存单击下载证书链,证书链中包含了当前证书和当前证书上级所有的CA证书,包括根CA.然后单击开始-管理工具-证书颁发机构.安装CA证书.然后启动服务.下一步下一步这里已先安装好了安装成功之后,从属CA部署完成.