在windows server 2008上安装证书服务

CA（证书颁发机构）
为了保证网络上信息的传输安全，除了在通信中采用更强的加密算法等措施外，必须建立一种信任及信任验证机制，即通信各方必须有一个可以被验证的标识，这就需要使用数字证书，证书的主体可以是用户、计算机、服务等。证书可以用于多方面，例如Web用户身份验证、web服务器身份验证、安全电子邮件等。安装证书确保望上传递信息的机密性、完整性、以及通信双方身份的真实性，从而保障网络应用的安全性。
提示：CA分为两大类，企业CA和独立CA；
企业CA的主要特征如下：
1）企业CA安装时需要AD（活动目录服务支持），即计算机在活动目录中才可以。
2.当安装企业根时，对于域中的所用计算机，它都将会自动添加到受信任的根证书颁发机构的证书存储区域；
3.必须是域管理员或对AD有写权限的管理员，才能安装企业根CA；
独立CA主要以下特征:
        1.CA安装时不需要AD（活动目录服务）。
        2 .情况下，发送到独立CA的所有证书申请都  
    被设置为挂起状态，需要管理员受到颁发。
    这完全出于安全性的考虑，因为证书申请者
    的凭证还没有被独立CA验证；  
   在简单介绍完CA的分类后，我们现在AD
     （活动目录）环境下安装证书服务；
   具体步骤如下：
1.域控制器上，在管理工具—服务器管理器—角色—打开添加角色向导—添加角色；AD安装服务；

2.点击—下一步，在选择角色服务中选择证书颁发机构和证书颁发机构Web注册；

3.在指定安装类型中选择”企业”，单击’下一步’；

4.在“CA类型中选择根CA”，单击下一步；

5.在设置私钥窗口中选择“新建私钥”，单击下一步；

6.在配置加密窗口，使用默认的加密服务程序、哈希算法和密钥长度，单击“下一步”；

7.选择按指导项单击“下一步”到确认—安装;

8.安装完成后，从管理工具中可以看到“Certification Authority”打开证书颁发机构管理器，管理证书的颁发；

9.为web站点应用证书前必须生成证书，用以标识证书应用于哪个站点，打开Insternet信息服务管理器中—打开—服务器证书；

10.打开后，首先先创建证书申请；在分辨名称属性窗口中通用名称可以是IP或者域名；其他设置根据需求填写；

11.在文件名窗口，为该证书申请指定一个文件名和保存路径单击完成创建证书申请；

12.打开证书申请文件C:\Users\Administrator\Desktop\qiangmeng.txt，可见证书申请文件时Base64编码，复制全部编码，提示：不能随意改动:

13.在申请到文件编码后，现在应该提交所申请的证书，在浏览器中输入：http://192.168.1.1/certsrv,单击申请证书；

 14.点击—申请证书进去后，选择高级证书申请；

15.在“提交一个证书申请或续订申请”页面，将复制的证书内容粘贴到，‘保存的申请’区域中，证书模板选择“web服务器”；

16.进入后，选择使用base64编码的文件提交一个申请；下载证书；为证书选择存放路径；

17.下载完成后，打开insternet信息服务管理—服务器证书—完成申请；

18.将申请的证书导入服务器；

19.完成后，在Insternet信息服务管理上新添加站点，在绑定类型中选择https；SSL证书选择申请的证书；

20.在SSL设置上要求应用SSL；选择此项后用户都只能以https方式访问连接站点；

21.在设置完成后，可以通过在用户计算机上HTTPS协议访问网站；测试使用域名进行访问；

 注：证书只有在指定的期限内才有效，
 每个证书都包含起始日期和有效终止日
 期。一旦过了证书的有效期，到期证书
 的使用者就必须重新申请一个新的证书

        多域名证书即包含多个认证名称的证书，它的好处在于我们只需要部署一个多域名证书就可以满足不同地址的访问支持。例如我们有一个站点，我们可以通过计算机名（如：ex-owa）或完整的 FQDN（如：ex-owa.contos.com）来进行访问，当我们以常规方式部署 SSL 时，所涉及的证书通常只包含一个认证名称，那么当我们使用认证之外的名称访问 SSL 站点时就会出现证书警告。所以此时部署一个多域名证书就显得尤为重要了！

        在 Windows Server 2008 上我们可以使用 MMC 载入证书组件来创建多域名证书申请，之后通过浏览器访问证书申请站点（certsrv）提交多域名证书申请，最后在计算机上导入该证书即可方便我们后续的使用。

        为此，我们首先需要运行 MMC，并载入 证书 组件，选择本地计算机账户，之后定位到 个人 - 证书，鼠标右键单击证书，并从 所有任务 - 高级操作 下选择 创建自定义请求。如下图所示：

        在证书注册的自定义请求步骤中，选择 WEB 服务器 模板，并单击下一步，如下图所示：

        接下来的证书信息步骤中展开 详细信息，并点击 属性，如下图所示：

        在 使用者 选项卡中，将使用者名称类型改为 公用名，添加值为计算机名称，并在备用名称类型中选择 DNS，添加要使用到的域名，如下图所示：

        此外，建议切换到 常规 选项卡为该证书定义一个好记并容易识别的 友好名称，检查无误后点击确定，如下图所示：

        将脱机请求的申请文件保存到本地。

        接下来打开浏览器访问证书服务器的证书自助服务站点，申请证书，如下图所示：

        单击 高级证书申请 链接，如下图所示：

        单击 使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请……，如下图所示：

        在提交证书申请页面中，将之前申请文件的内容拷贝到编码框中，模板选择为 Web 服务器，如下图所示：

        最后下载证书并导入计算机证书中即可！

http://blog.sina.com.cn/s/blog_67288bc90100jbwh.html