windows2003证书服务 安装证书颁发机构

WindowsServer 2003的安装程序缺省设置下并不会自动安装证书服务。这是由于安装完证书服务后，Windows Server 2003计算机就无法再更改计算机名称了。为了提高系统管理灵活性，所以Windows Server 2003并未将证书服务安装到用户的Windows Server 2003计算机上。所以，当用户要在Windows Server 2003计算机上安装证书服务时，用户需要由“添加/删除程序”中的“Windows组件”，选择安装证书服务。
注意：如果用户没有安装IIS，请先安装IIS。
若要在Windows Server 2003计算机上安装证书颁发机构(CA)，请按照下列的步骤进行操作：
1．以系统管理员权限的帐号登录Windows 2003系统。
2．请依序打开“开始”菜单→“设置”→“控制面板”选项，以启动Windows 2003控制面板。
3．接着，选择“添加或删除程序”，启动添加或删除程序

4．接着，请选择“添加/删除Windows组件”选项，这时候，系统会启动Windows组件向导，让用户选择想安装的Windows Server 2003操作系统的相关服务或工具的组件

5．请在Windows组件向导的“组件”列表里，选择“证书服务”的选项，以便在Windows Server 2003计算机上安装证书服务。当在Windows Server 2003计算机上安装了证书服务后，这部Windows Server 2003计算机就会成为证书颁发机构主要的参考计算机，因此，就无法在Windows Server 2003计算机上重新为计算机命名了，而且也无法加入其他的域、或者由现存的域中删除。因此，当用户要安装证书服务前，请先确定这部Windows Server 2003 计算机的稳定性。
6．当勾选“证书服务”的选项后，请接着按“下一步”按钮。接下来，系统会出现证书授权类型的设置过程。只需要按照需要，选择要安装的证书颁发机构(CA)的类型即可。用户可以选择设置的各种证书颁发机构的类型以及用途，如图所示：

企业根CA(Enterprise Root CA)：如果所设置的证书颁发机构要将证书发行到企业Active Directory域内所有的个体上，用户就必须选择此选项。请注意，此部证书颁发机构将会登记在Active Directory域内。如果企业的硬件资源足够时，建议只将企业根CA使用在发行授权(证书)给企业从属CA(Subordinate CA)之用，因为这样可以确保较好的安全性。如果企业域内部目前并没有任何的证书颁发机构，也必须选择安装企业根CA。
企业从属CA(Enterprise Subordinate CA)：如果设置的证书颁发机构要将证书发行到企业Active Directory域内的每一个个体上，而且企业域上已经有一台企业根证书颁发证书机构，就可以选择此选项。请注意，此部证书颁发机构将会登记在Active Directory域内。
独立根CA(Stand-alone root CA)：如果所安装的这部证书颁发机构将要发行证书给企业域外部的个体使用时，就必须选择这种证书颁发机构方式。选择了这种方式的证书颁发机构，将会成为一个证书颁发机构层次架构的独立根证书颁发机构。
独立从属CA（Stand-alone subordinate CA）：如果要将此部证书颁发机构设置为一个已经设置好的证书层次架构里的一员，就应该选择此选项。证书层次架构组织可以是用户之前所安装的独立证书系统，也可以是存在于企业外部的一个商用性证书颁发机构。

在图1-6中显示选择了企业根CA。
在Windows Server 2003操作系统的证书服务器上已经采用了默认的加密系统，提供证书的安全机制。若要设置证书颁发机构一些高级设置值(例如证书颁发机构所使用的加密服务提供者(CSP)、数字签名或信息完整性检查所使用的散列算法、证书所使用的密钥长度、所使用的密钥类型等)，可以勾选下方的“高级选项”复选框。若勾选了此选项的话，当按下“下一步”按钮时，接下来会出现“公钥/私钥对”的设置窗口，如图1-7所示：

图1- 7 公钥/私钥对高级设置
此对话框可以让您更改系统默认的加密功能，如使用哪一种加密服务提供者（CSP）、使用哪一种散列算法等等。在上面的对话框里的每一种加密功能的选项（例如加密服务提供者、散列算法等），是根据目前您这部Windows Server 2003计算机上所有的软硬件的支持能力所提供的选项出现在上图的设置窗口里。
用户可以在“密钥长度”的选择框里调整数据加密时所使用的密钥长度。一般来说，密钥长度越长，加密出的密文越安全，但是所需要的加密/解密时间越久。如果选择“默认”的密钥长度，系统会根据所选择的加密服务来自动设置所需要的密钥长度。我们建议用户在许可的范围内，尽量选择较长的密钥长度，但是如果密钥长度较长所需要计算加密/解密的时间可能会较长，而且可能有些硬件会无法支持较长的密钥长度（因为有些硬件设计空间或其他因素，限制密钥长度的使用）。如果要使用目前存在系统内的一些密钥建立证书颁发机构，请选择下方的“使用现有密钥”框以及“导入”按钮来设置此证书颁发机构所使用的密钥。
完成上述的设置后，请按“下一步”按钮，继续证书颁发机构的安装设置。
7．接下来，向导会出现“CA标识信息”的设置窗口。用户必须在此窗口里设置此证书颁发机构的标识信息;

在这里请用户要特别注意，在“CA名称”的字段上，用户务必为此证书颁发机构命名一个名称，因为稍后将会使用此名称来标识建立在证书服务器上的证书颁发机构对象。
如果用户建立的是企业型的证书颁发机构，此名称将会使用来标识建立在Active Directory域内的证书颁发机构对象，如果用户建立的是独立证书颁发机构，此名称将会使用在标识此证书颁发机构上。在这里，还需要请读者注意另外一点，如果所设置的是根证书颁发机构(Root CA)，那证书颁发机构的“有效期限”需要比较长的时间，至少都需要比从属证书颁发机构的有效时间长。如果设置的是根证书颁发机构，请将“有效期限”设置在一个合理的时间内。当然用户必须考虑到安全以及系统管理的负担，在这两个相对的考虑上获取一个平衡点。当根证书颁发机构过期时，系统管理人员就必须重新刷新一次所有的信任关系。
当完成上述的设置后，请按“下一步”按钮，继续下一个证书颁发机构的设置过程。
8．接下来，向导会出现“证书数据库设置”的窗口，如图1-9所示，此窗口主要的目的是要指定证书数据库的储存位置、证书服务器设置信息的储存位置、储存证书撤销列表的位置以及证书数据库记录文件的位置。

如果所设置的证书颁发机构类型为企业型的证书颁发机构，则企业型的证书颁发机构会将它的一些设置信息以及属性信息存储在域里（域控制器上）。
若不是在域控制计算机上设置证书服务器的话，请选择“共享文件夹”选项，并输入一个位于本地上的共享文件夹路径，用来指定证书颁发机构设置信息的存储位置（用户可以指定在共享文件夹里，这样即使未参与域的客户端机器，也能够获取证书撤销列表的相关信息）。
当完成上述的设置后，请按“下一步”按钮，继续下一个证书颁发机构的设置过程。
9．如果安装的是一个从属证书颁发机构，用户将会看到“CA证书申请的设置窗口（如果您安装的不是从属证书颁发机构，请跳到第10个步骤继续证书颁发机构的设置过程）。之前，我们曾经提到过，从属证书颁发机构会直接向根证书颁发机构获取证书信息，在这里，就是要设置此从属证书颁发机构要向哪一台Windows 2003计算机上的根证书颁发机构获取证书颁发机构的证书信息。用户可以选择采用网络直接传输的方式，或者以文件形式的方式，来获取证书颁发机构的证书信息。若采用网络直接传输的方式，用户只要指定根证书颁发机构计算机名称、以及证书颁发机构的名称即可。若采用文件形式来获取根证书颁发机构的证书信息，必须指定存储证书信息的文件位置如图所示：

 

用户可以选择“将申请直接发送给网络上的CA”选项，并按下“浏览”按钮，选择一台可以获取证书授权的根证书颁发机构计算机以及证书颁发机构。如果必须由特定的商用证书颁发机构获取授权证书信息，或者需要获取授权的证书颁发机构无法由网络上获取授权信息时，用户可以选择“将申请保存到一个文件”的选项，并将此文件带到指定的主要证书颁发机构上处理，获取发行证书的授权。
当完成上述的设置后，请按“下一步”按钮，继续下一个证书颁发机构的设置过程。
10．因为Microsoft的证书服务也直接支持其他IIS服务器的运行，因此，如果这时候您的MicrosoftInternet 信息服务器IIS(Microsoft Internet Information Server)还在运行阶段，系统会出现提示信息，要求您先停止IIS的运行，以便顺利安装证书服务器，

11．当点击“是”按钮后，接下来系统便开始安装证书服务器相关的组件以及程序

12．请注意一下%SystemRoot%/system32/CerSrv/CertEnroll文件夹是共享的。因为证书服务的客户端计算机会需要获取此目录下的信息，以便核对撤销的相关信息。如果此磁盘文件夹没有处于共享状态，可能证书服务客户端计算机会无法正常运行。
13．这时候证书服务器已经成功地安装在Windows Server 2003计算机上了。已经可以由“开始”菜单→“所有程序”→“管理工具”→“证书颁发机构”选项，启动证书颁发机构系统管理工具来管理证书服务器了.