1、Window Server 2003 CA 实验CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心 )是 PKI 中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和 CRL 发布和事件日志记录等几项重要的任务。首先,主体发出证书申请,通常情况下,主体将生成密钥对,有时也可能由 CA 完成这一功能,然后主体将包含其公钥的证书申请提交给 CA,等待年批准。CA 在收到主体发来的证书申请后,必须核实申请者的身份,一旦核实,CA 就可以接受该申请,对申请进行签名,生成一个有效的证书,最后,CA 将分发证书,以便申请者可使用该证书。CRL:是被
2、 CA 吊销的证书的列表。下面来部署 CA一台是独立根 CA,一台是独立从属 CA安装独立根 CA选中应用程序服务器和证书服务.由于“证书服务 WEB 注册支持“需要依赖于 IIS,所以要选中应用程序服务.点详细看一看点确定这里选独立根 CA 并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.密钥长度,根 CA,默认长度为 2048 位,如果安装从属 CA,默认密钥长度为 1024 位.如果不选“允许此 CSP 与桌面交互“ 系统服务就无法与当前用户的桌面进行交互.输入 CA 的公用名称,安装后就不能更改了.可修改默认的有效期限.共享文件用于存储 CA 的相关信息以便用户查找,只有
3、在安装独立的 CA 但不使用 AD 时才有用.下面便开始安装了.安装到一定的时候会出现下面对话框默认安装 IIS 时并不启用 ASP 支持,因此在安装时会出现上面对话框.点击是.下面来安装独立从属 CA同样选择应用程序服务器和证书服务这里选择独立从属 CA 并勾上.可以看到这里密钥长度默认是 1024 位输入公用名称有效期限取决于父 CA这里默认建立一个共享文件夹如果父 CA 在线可用,则选中“将申请直接发送给网络上的 CA“.在文本框中输入父 CA 的计算机名,和父 CA 的名称.如果父 CA 不在线可用,则选中“将申请保存到一个文件“, 并在申请文件文本框中输入将存储申请的文件的路径和文件
4、名,然后使用此证书申请文件手工向父 CA 提交申请.下面便开始安装了安装时会出现上面对话框,确定便是了.选“是” ,然后点击“完成” 。下面来验证安装 可以看到根 CA 有上面这些文件便安装成功也可以看服务有图中的服务便安装成功下面来看申请和颁发证书现在来登录从属 CA,打开“开始“-所有程序-INTERNET EXPLORER. 打开 IE在地址栏中输入父 CA 的 WEB 支持页面的 URL.然后单击申请一个证书这里选高级证书申请选下面那条点浏览要插入的文件这个是在建立从属 CA 时所创建的然后点读取最后点提交这样便提交了一个证书申请然后在根 CA 上颁发证书可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名.点证书右键,点颁发这样便在颁发证书下面又击证书便可以看到下面这里可以看到证书的一些信息下面来看获取并安装证书这里在从属 CA 上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存单击下载证书链,证书链中包含了当前证书和当前证书上级所有的 CA 证书,包括根 CA.然后单击开始-管理工具 -证书颁发机构.安装 CA 证书.然后启动服务.下一步下一步这里已先安装好了安装成功之后,从属 CA 部署完成.
