安装企业从属证书颁发机构

安装企业从属证书颁发机构

1.	以 Enterprise Admins 组和根域的 Domain Admins 组成员的身份登录。
2.	如果您的企业中当前存在或曾经存在任何 Windows 2000 企业证书颁发机构 (CA)，请打开“证书模板”，并在提示安装新的证书模板时，单击“确定”。
3.	打开控制面板中的“添加或删除程序”。
4.	单击“添加/删除 Windows 组件”。
5.	在“Windows 组件向导”中，选中“证书服务”复选框。屏幕上将出现一个对话框，通知您计算机在安装了“证书服务”后不能重命名且不能加入域或从域中删除。请单击“是”，然后单击“下一步”。
6.	单击“企业从属 CA”。
7.	（可选）选中“使用自定义设置生成密钥对和 CA 证书”复选框，然后单击“下一步”指定以下内容。 要设置 执行 加密服务提供程序 (CSP) 在“CSP”中单击要使用的 CSP。默认值为“Microsoft Strong Cryptographic Provider”。证书服务支持第三方 CSP，但您必须参考该 CSP 供应商的文档，了解关于在证书服务中使用其 CSP 的信息。 散列算法 在“散列算法”中单击要使用的散列算法。默认值为 SHA-1。 使用现有密钥 选中“使用现有密钥”复选框，单击“导入”，然后在“打开 PFX 文件”中键入公钥和私钥对的文件名和密码。如果您在吊销或还原先前安装的证书颁发机构 (CA)，那么这是很有帮助的。注意，当使用现有密钥时，将生成一个新的证书。 要点 密钥长度 在“密钥长度”中键入或选择密钥长度。使用 Microsoft Strong Cryptographic Provider 的默认密钥长度是 2048 位。其他 CSP 的默认密钥长度会有所不同。通常，密钥越长越安全。而且，密钥越长，诸如签名、加密和链验证等操作就需要更多的系统资源。对于根 CA，应使用长度至少为 2048 位的密钥。如果您使用现有密钥，则该选项不可用。 允许此 CSP 与桌面交互 选中“允许此 CSP 与桌面交互”复选框。如果没有此选项，系统服务将无法与当前登录的用户的桌面进行交互。 导入 单击“导入”。将以 PKCS #12 PFX 格式导入现有密钥。 查看证书 单击“查看证书”。这允许查看在安装过程中选择或生成的证书。 完成后请单击“下一步”。
8.	键入 CA 的通用名称 (CN) 并单击“下一步”。
9.	指定证书数据库的存储位置、证书数据库日志和共享文件夹。单击“下一步”。
10.	获取从属 CA 的证书。有关如何执行该操作的说明，请参阅“注意”。
11.	如果正在运行“Internet 信息服务”，系统将在继续安装之前请求您停止该服务。单击“确定”。
12.	如果出现提示，请键入“证书服务”安装文件的路径。
13.	安装证书颁发机构之后，即可将证书模板添加至证书颁发机构，并将证书颁发机构配置为允许主题请求基于模板的证书。 详细信息，请参阅“相关主题”。

注意

•	完成 CA 安装后，该 CA 的名称与其他初始信息无法更改。
•	如果没有通过“Internet 信息服务”启用 Active Server Pages，系统将提示您激活它们。证书颁发机构的 Web 界面要求运行 Active Server Pages。
•	要获得从属 CA 的证书，必须向父 CA 提交证书申请。执行该操作的步骤会有所不同，具体情况取决于父 CA 是否可以联机，。 • 如果父 CA 可以联机：

单击“将申请直接发送到网络上已有的 CA”。

在“计算机名称”中，键入安装当前 CA 的计算机的名称。

在“父 CA”中，单击父 CA 的名称。

单击“将申请保存到一个文件”。

在“申请文件”中，键入存储申请的文件的路径和文件名。

从父 CA 获得该从属 CA 的证书。

执行该操作的步骤对父 CA 是唯一的。父 CA 至少应提供一个包含从属 CA 新发行证书（最好还包含其完整证书路径）的文件。有关使用文件向 Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition CA 提交证书申请的过程，请参阅“相关主题”。

如果您获得的从属 CA 证书 不包括完整的证书路径，则您要安装的新从属 CA 必须能在它启动时建立有效的 CA 链。所以，您必须在计算机的中级证书颁发机构证书存储中安装父 CA 的证书（如果父 CA 不是根 CA）以及链中任何其他中级 CA 的证书，而且您必须将链中根 CA 的证书安装到受信任的根证书颁发机构存储中。在刚刚建立的从属 CA 上安装 CA 证书之前，应在证书存储中安装这些证书。

打开证书颁发机构。

单击控制台树中的 CA 的名称。

位置

•	证书颁发机构（ 计算机）/ CA 名称

在“操作”菜单上，指向“所有任务”，然后单击“安装 CA 证书”。

找到从父证书颁发机构接收的证书文件，单击此文件，然后单击“打开”。

如果根 CA 不受信任，请单击“确定”信任根 CA 的证书。

一旦安装了证书，就可启动“证书服务”。

•	企业从属 CA 的选择要求主机是域的成员，并且它使用 Active Directory 目录服务。安装企业 CA 的管理员必须拥有 Active Directory 的写权限。
•	如果对 Active Directory 具有写权限，则指定共享文件夹是可选的，而且通常对企业 CA 不这么做。
•	要打开“证书颁发机构”，请单击“开始”，依次指向“程序”、“管理工具”，然后单击“证书颁发机构”。
•	如果将企业从属证书颁发机构安装为企业管理员或委派的用户，在卸载企业从属证书颁发机构时，必须使用该 Enterprise Admin 或委派的用户帐户。
•	要打开“添加/删除 Windows 组件”，请依次单击“开始”、“控制面板”，然后双击“添加或删除程序”，然后单击“添加/删除 Windows 组件”。

转载于:https://blog.51cto.com/mumunetwork/45192