windows 证书服务器搭建及证书模版增加到5年

技术背景运行证书服务的服务器能够作为两种类型认证中心之一：Enterprise（企业级的）和Stand-alone（独立的）。

企业级的CA是Active Directory（活动目录）的一部分，能够使用模板和智能卡，能够在活动目录中发行数字证书。

独立的CA不需要活动目录，也没有办法使用模板，所有的证书都标记为挂起状态，直到管理员签发为止。

由独立CA建立的证书不公布，而且必须由手工分发。

实验目的安装Windows2000 的Certificate Services（证书服务）配置独立的根CA实验平台客户端：Windows2000/XP/2003服务端：Windows 2000 Server（确保管理员账户登陆）实验工具Windows 远程桌面客户端工具mstsc.exe一台安装Windows 2000 Server 的计算机实验要点实验中，将安装Certificate Services（证书服务），并建立一个不是Windows 2000域中成员的独立的根CA实验步骤指导实验准备实验概要：●获取Windows 远程桌面客户端工具mstsc压缩包，并解压。

●获取服务器Windows操作系统Administrator管理员口令。

●获取服务器IP地址。

安装证书服务器实验概要：通过Windows的添加/删除程序，安装Windows 2000 Server的Certificate Services（证书服务）。

1.运行远程桌面客户端程序mstsc.exe，输入服务器端IP地址，点击Connect连接，如图1：（图1）2.以Administrator（管理员）身份登陆服务器桌面。

【注释】※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※服务器Administrator用户的登陆密码为123456※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※3.在远程桌面中，单击开始->设置->控制面板。

2020年全国职业院校技能大赛改革试点赛网络系统管理赛项（样题2）模块B：Windows环境全国职业院校技能大赛执委会.技术专家组2020年09月目录一、赛题说明 (2)（一）竞赛介绍 ....................................................................... 错误!未定义书签。

（二）密码 ............................................................................... 错误!未定义书签。

（三）竞赛时间 ....................................................................... 错误!未定义书签。

（四）竞赛注意事项 ............................................................... 错误!未定义书签。

（五）竞赛结果文件的提交.................................................... 错误!未定义书签。

二、项目任务描述 (4)（一）基本配置 (4)（二）拓扑图 (5)三、项目任务清单 (5)（一）DCserver配置任务 (5)（二）SDCserver配置任务 (7)（三）Server01配置任务 (9)（四）Server02配置任务 (10)（五）Server03配置任务 (10)（六）GWserver配置任务 (11)（七）Client配置任务 (12)一、赛题说明（一）竞赛介绍请详细阅读网络拓扑图，为所有计算机修改默认防火墙以便允许ICMP和相应的流量，不允许直接关闭主机的防火墙。

除了CD-ROM/HDD驱动器，请不要修改虚拟机本身的硬件设置。

（二）密码如果没有详细说明，请使用“Chinaskills20”作为默认密码。

关于域控制器和证书服务器分离的部署策略配置过程如下：一．域控制器的配置1．安装DNS服务器。

首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。

安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中“DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。

在此不再赘述。

2．配置AD。

安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：选择“新域的域控制器“，点击”下一步”，出现如下界面：选择“在新林中的域”，点击“下一步”，出现如下界面输入新域的域名（例如“”，特别提示，一定要有后缀”.com”且不能和计算机重名）。

然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：输入还原模式密码，。

点击“下一步”，剩下的就是等win 自动安装完成就可以了。

然后安装KEY的CSP程序小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即中。

2．安装IIS。

点击“配置你的服务器向导”，安装IIS 服务器。

以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。

然后一路默认设置，就可以了，WIN 会自动安装完成域控制器4．添加证书服务。

点击“控制面板”－》“添加/删除程序”－》“添加/删除windows 组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：选择“是”，点击“下一步”，出现如下：选择“企业根CA”，点击“下一步”，如下图：输入ca的公用名称，和有效年限，点击“下一步“。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

2020年全国职业院校技能大赛改革试点赛网络系统管理赛项（样题3）模块B：Windows环境全国职业院校技能大赛执委会.技术专家组2020年09月目录一、赛题说明 .............................................................................. 错误!未定义书签。

（一）竞赛介绍 ....................................................................... 错误!未定义书签。

（二）密码 ............................................................................... 错误!未定义书签。

（三）竞赛时间 ....................................................................... 错误!未定义书签。

（四）竞赛注意事项 ............................................................... 错误!未定义书签。

（五）竞赛结果文件的提交.................................................... 错误!未定义书签。

二、项目任务描述 (3)（一）基本配置 (4)（二）拓扑图 (5)三、项目任务清单 (5)（一）DCserver配置任务 (5)（二）SDCserver配置任务 (8)（三）Server01配置任务 (9)（四）Server02配置任务 (10)（五）Server03配置任务 (11)（六）GWserver配置任务 (12)（七）Client配置任务 (13)一、赛题说明（一）竞赛介绍请详细阅读网络拓扑图，为所有计算机修改默认防火墙以便允许ICMP和相应的流量，不允许直接关闭主机的防火墙。

Win2003证书服务配置/客户端(服务端)证书申请/IIS站点SSL设置转载自“菩提树下的杨过”一．CA证书服务器安装1．安装证书服务之前要先安装IIS服务并且保证“WEB服务扩展”中的“Active Server Pages”为允许状态2．在“控制面板”中运行“添加或删除程序”，切换到“添加/删除Windows组件”页3．在“Windows组件向导”对话框中，选中“证书服务”选项，接下来选择CA类型，这里选择“独立根CA”4．然后为该CA服务器起个名字(本例中的名字为CntvsServer)，设置证书的有效期限，建议使用默认值“5年”即可，最后指定证书数据库和证书数据库日志的位置后，就完成了证书服务的安装。

5.安装完成后，系统会自动在IIS的默认站点，建几个虚拟目录CertSrc,CertControl,CertEnroll二．客户端证书申请1. 运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”。

证书申请页面，输入相应的申请信息，然后点击［申请一个证书］。

接下来选择"Web浏览器证书"填写相关信息2. 系统将处理您提交的申请，此过程可能要等待10秒钟左右。

建议最好记下申请ID（本例为4）三。

客户端证书的颁发打开“管理工具”选择“证书颁发机构”，打开"挂起的申请",右击-->"颁发"四。

客户端证书的下载及安装1.运行Internet Explorer浏览器，在地址栏中输入“http://证书服务器IP/CertSrv/default.asp”,选择“查看挂起的证书申请状态”2.找到自己申请的证书3.安装证书安装完成后，可到IE里查看刚刚安装好的证书五.服务器证书的申请1.以IIS的默认站为例，先右击站点，打开网站属性-->目录安全性-->服务器证书2.按IIS证书向导一步步提交服务器证书申请六。

2020年全国职业院校技能大赛改革试点赛网络系统管理赛项（样题2）模块B：Windows环境全国职业院校技能大赛执委会.技术专家组2020年09月目录一、赛题说明 (2)（一）竞赛介绍 ....................................................................... 错误!未定义书签。

（二）密码 ............................................................................... 错误!未定义书签。

（三）竞赛时间 ....................................................................... 错误!未定义书签。

（四）竞赛注意事项 ............................................................... 错误!未定义书签。

（五）竞赛结果文件的提交.................................................... 错误!未定义书签。

二、项目任务描述 (4)（一）基本配置 (4)（二）拓扑图 (5)三、项目任务清单 (5)（一）DCserver配置任务 (5)（二）SDCserver配置任务 (7)（三）Server01配置任务 (9)（四）Server02配置任务 (10)（五）Server03配置任务 (10)（六）GWserver配置任务 (11)（七）Client配置任务 (12)一、赛题说明（一）竞赛介绍请详细阅读网络拓扑图，为所有计算机修改默认防火墙以便允许ICMP和相应的流量，不允许直接关闭主机的防火墙。

除了CD-ROM/HDD驱动器，请不要修改虚拟机本身的硬件设置。

（二）密码如果没有详细说明，请使用“Chinaskills20”作为默认密码。

网络课程设计报告--Windows证书服务的安装与应用计算机网络课程设计Windows证书服务的安装与应用成域控制器请在PC机上安装虚拟机软件VMware7.1汉化版。

然后启动VMware Workstation，开设三台虚拟机，一台装Windows2008标准版(或2003版)并安装成域控制器(域名)，一台装Windows2008(或2003)并加入域，再一台装Windows XP(或vista)，其中Windows XP先不加入域，三台的IP都设置在192.168.1.X这同一网段内。

同时将实体机也配置成能与这三台虚拟机通信。

安装成域控制器DC(Win2k3-AD-Server)域名为故意修改配置密码：lxd安装Web服务器IIS：新建网站：其他电脑访问web（还没有做那个dns解析，先用ip地址访问）域名服务器DNS另外一台Win2k3加入该域用户名和密码都是我系统登入时的密码能够访问到Win2k3-AD-Server的Web服务器的主页()安装证书服务在已安装域控制器的机子上安装证书服务。

选择建立企业CA服务，注意不要选“证书颁发机构Web服务”。

完成后分别在另两台虚拟机上申请与安装证书：(在安装CA服务和安装证书前做好快照)安装证书（1）CA（主机A）安装证书服务主机A依次选择“开始”|“设置”| “控制面板”|“添加或删除程序”|“添加/删除Windows 组件”，选中组件中的“证书服务”，此时出现“Microsoft证书服务”提示信息，单击“是”，然后单击“下一步”。

在接下来的安装过程中依次要确定如下信息：CA类型（选择独立根CA）CA的公用名称证书数据库设置（默认）在确定上述信息后，系统会提示要暂停Internet信息服务，单击“是”，系统开始进行组件安装。

安装过程中，在弹出的“所需文件”对话框中指定“文件复制来源”为C:\ExpNIS\Encrypt-Lab\Tools\WindowsCA\i38 6即可（若安装过程中出现提示信息，请忽略该提示继续安装）。

实验六：PKI (证书服务)实验实验目的：1）安装CA服务；2）使用WEB方式申请证书和安装证书；3）证书查看及吊销；实验拓扑图：证书服务器IP：192.168.10.166交换机客户机IP：192.168.10.23任务一：安装CA服务器1.为CA服务器配置静态IP地址如:192.168.10.116 掩码255.255.255.02.打开[windows组件向导].在组件下，找到并单击[应用程序服务器].单击[详细信息].在[应用程序服务器的子组件]中,单击[Internet信息服务（IIS）],然后点“确定”.最后通过下一步,下一步“完成”即可.(如图)（支持web注册请先安装IIS服务,然后再装证书服务！）3. 打开[windows 组件向导].在组件下，找到并单击[证书服务].点下一步选“独立根CA ”如果您的计算机是域环境的成员服务器或域控制器就可以安装“企业根CA ”和“企业从属CA ”（在域中的成员可以通过MMC 和WEB 方式申请证书）12453输入一个公用名称.最后“下一步”完成即可！打开mmc控制台添加“证书服务”如图CA服务成功启用.任务二：客户机用web方式申请证书和安装证书.1.在客户机上打开IE浏览器,并在地址栏“http://192.168.10.166/certsrv”选“下载证书,证书链或CRL”,再选安装CA证书安装CA证书链后,客户机上的登陆用户就会信任CA服务器（证书服务器）.2．向CA服务器申请web浏览器证书，先回证书服务首页，如图选“申请一个证书”选“Web浏览器证书”添写自己个人信息！然后提交如图3.用证书服务器给用户颁发证书,我们回到证书服务器上,在挂起的申请上颁发证书.4.给客户机上的用户安装颁发的web服务器证书.我们在回到客户机上打开IE在地址栏输入“http://192.168.10.166/certsrv”选“查看挂起的证书申请的状态”选“Web浏览器证书”接着点安装证书.信任你安装的证书清点（Y）如上图说明您的证书以安装成功！任务三：证书查看及吊销1．在客户机上打开mmc 控制台添加“证书-当前用户”在个人证书可以看到安装的web浏览器证书.2.查看“受信任的根证书颁发机构”下的证书如图3．在根CA服务器上打开“mmc”控制台右击“颁发的证书”吊销如图附加实验一：SSL 网站的连接实验目的：1. 建立ssl 网站2. 客户机用户配置3. 客户机对ssl 网站的访问实验拓扑图:任务一:建立ssl 网站1. 我们打开上述已经建立好的网站“sina 的网站”右键点击web 服务选 属性,点击目录安全性选项卡,如图证书服务器IP:192.168.10.224web 服务器IP:192.168.10.100 DNS 服务器IP:192.168.10.100客户机IP:192.168.10.23 DNS:192.168.10.1002.在目录安全性选项卡的安全通信处,点击“服务器证书”下一步，下一步选“新建证书”下一步下一步,输入单位名称和部门名称下一步,输入国家（地区）,省份下一步,在此注意一定要记住文件名的路径,等下申请证书时,需要该文件的内容.最后完成即可！3.再点击安全通信处的编辑,选上安全通道和要求客户端证书,确定即可.4.打开IE浏览器在地址栏中输入“http://192.168.10.224/certsrv/”,点击“申请一个证书”4.我们选择“高级证书申请”,接着选“使用base64 编码的CMC 或PKCS #10 文件提交一个证书申请，或使用base64 编码的PKCS #7 文件续订证书申请。

配置Win Server远程桌面连接证书的两种方法一、Win Server远程桌面连接证书的概述Win Server远程桌面连接证书是用于确保远程访问服务器的安全性和可靠性的一种安全证书。

本文将介绍两种配置Win Server远程桌面连接证书的方法，以帮助管理员更好地保护服务器和客户端之间的通信。

二、自签名证书的配置方法自签名证书是一种由服务器自行签署的证书，虽然安全性较低，但适用于内部网络或测试环境。

以下是配置自签名证书的步骤：1. 打开服务器管理器，点击“添加角色和功能”。

2. 在安装类型中选择“基于角色或基于功能的安装”，点击“下一步”。

3. 在服务器池中选择目标服务器，点击“下一步”。

4. 在角色选择中选择“远程桌面服务”，勾选“远程桌面会话主机”和“远程桌面访问证书”，点击“下一步”。

5. 点击“添加功能”，选择所需功能，如“桌面体验”，点击“下一步”。

6. 在证书选择中选择“从CA请求或自签名证书导入”，点击“下一步”。

7. 在证书指定中点击“创建自签名证书”。

8. 输入自签名证书的通用名称和有效期，点击“确定”。

9. 完成安装过程，并进行必要的重启。

三、使用第三方CA颁发的证书的配置方法使用第三方CA颁发的证书是一种常用的方法，能够提供更高的安全性和信任度。

以下是配置第三方CA颁发的证书的步骤：1. 打开服务器管理器，点击“添加角色和功能”。

2. 在安装类型中选择“基于角色或基于功能的安装”，点击“下一步”。

3. 在服务器池中选择目标服务器，点击“下一步”。

4. 在角色选择中选择“远程桌面服务”，勾选“远程桌面会话主机”和“远程桌面访问证书”，点击“下一步”。

5. 点击“添加功能”，选择所需功能，如“桌面体验”或“网络级别身份验证”，点击“下一步”。

6. 在证书选择中选择“从CA获取或重新颁发证书”，点击“下一步”。

7. 输入第三方CA的服务器URL和证书颁发机构名称，点击“检查”。

修改CA证书有效期限～
默认情况搭建CA服务器时最长有效期限为五年，可作为企业有关服务产品的IT生命周期设计要更长，所以必须改CA证书模板的有效期限。

具体操作如下：
1、在运行中敲入notepad命，复制如下信息到记事本中：
[Version]
Signature= "$Windows NT$"
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=15
[CRLDistributionPoint]
[AuthorityInformationAccess]
2、保存为CApolicy.inf文件，剪切到C:\Windows目录中，其中RenewalValidityPeriodUnits=15是指将CA证书有效期限该为15年；
3、在运行中键入regedit打开注册表，把下面的注册表项改为15 ，
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services \CertSvc\Configuration\<CAName>\ValidityPeriodUnits。

其中<CAName>是指CA服务器名。

如图所示：
4、进入到Certificate Authority ，选中服务器名。

点击右键选择“所有任务”，点击“续订CA证书”；
5、然后会弹出一个对话框，我们选择是就OK了；
注意：经多次测试，这里需要操作两次CA证书的有效期限才会成功修改为15年(即点击两次“续订CA证书”)。

配置证书服务一、条件Windows server 2003 （域环境）Windows server 2003 （工作组环境）Windows XP （客户机）二、过程在Windows server 2003 （域环境）设置1、配置静态IP：192.168.0.12、安装组件控制面板→添加或删除程序→添加或删除组件→应用程序服务程序→IIS添加或删除组件→证书服务→选则“是”→企业CA→名称***→下一步→完成3、管理工具→IIS管理器→右击“默认网站”→属性→目录安全性→安全通信-服务器证书→新建证书→立即将证书请求发送到政府颁发机构→默认下一步→完成编辑→把“要求安全通信（SSL）”“√”4、建立用户开始→运行→dsa.msc→user→新建用户zhangqing密码！！！111qqq三、验证在Windows XP （客户机）设置1、配置静态IP：192.168.0.32、开始-运行→https://192.168.0.1/certsrv用户名：zhangqing密码：！！！111qqq3、申请一个证书→用户证书→提交“是”→安装此证书“是”4、导出证书右击IE浏览器→属性→内容→证书→选中证书-“导出”→是，导出私钥→下一步→密码000→文件名“C:\pki.pfx”→下一步-完成5、导入证书进入C盘找到文件名pki的证书文件双击→默认下一步→密码000→下一步-完成在Windows server 2003 （工作组环境）安装web服务器证书1、IIS管理器→默认网站属性→目录安全性→服务器证书→新建证书→默认下一步-完成2、打开certreq.exe文件复制所有内容3、在开始运行中输入http://192.168.0.2/certsrv 申请一个证书→高级证书申请→选择第二项→在第一个文本框中粘贴内容→提交4、管理工具→证书颁发机构→挂起的证书→颁发证书5、在开始运行中输入http://192.168.0.2/certsrv →查看挂起的证书申请的状态→保存证书→64编码→下载证书6、IIS管理器→默认网站属性→目录安全性→服务器证书I→处理挂起的请求并安装证书→输入下载证书的路径和文件名→默认下一步-完成。

{售后服务}证书服务器配置WindowsCA证书服务器配置(一)——Microsoft证书服务安装安装准备：插入WindowsServer2003系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：Microsoft证书服务的默认CSP为：MicrosoftStrongCryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步’：点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装：‘完成’证书服务的安装。

开始》》》管理工具》》》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：hostname/certsrv或hostip/certsrv申请界面如下：WindowsCA证书服务器配置(二)——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

安装证书服务器的前提条件1、域控制器安装12qw!@#无需干预2、IIS服务器启动从“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，进入“Windows组件向导”。

点击“应用程序服务器”，选中“Internet 信息服务（IIS）”单击“确定”。

建立证书服务器1、建立证书服务器“证书颁发机构”组件一般来说商业上正规的安全认证证书是由专门的安全认证中心统一颁发的，这种证书需要申请，而且要花钱购买。

幸运的是Windows 2000的标准组件中提供了“证书颁发机构”组件，不用犹豫，马上安装该组件，让自己的计算机也成为安全认证中心来颁发安全认证证书。

安装步骤如下：1. 从“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，进入“Windows组件向导”。

2. 选中“证书服务”，系统会提示“安装证书服务后，不能重命名计算机，并且计算机不能加入域或从域中删除，要继续吗？”，选择“是”（若要重命名计算机、加入域或从域中删除，要重新安装证书颁发机构），单击“下一步”。

2、修改用户证书模版Windows的证书服务器，用户证书一般免费的时间都短，一般才1年。

用户使用起来很麻烦，需要每隔一年更新一次用户证书，下面提供一个5年免费证书模版制作的方法。

用户证书时间可以提高到5年，与ca企业根相同的时间，即五年。

建立证书服务器时，有选择有效期的选项，但这个选项即使你选择了10年或者其他更大的时间，ca证书服务器建完后，ca企业根有效期也是5年。

关于用户证书时间提高的方法，大概是如下步骤：1、建立一个新证书模版进入证书管理对话菜单复制证书模版时，必须选择模版名称为”用户”的模版进行复制。

将模版显示名称修改为“5年证书模版”，将有效期修改为5年，续订期修改为1368天，勾选“ACTIVE Directory 中颁发证书 (P)”2、新证书模版赋予“读取、注册、自动注册”的权限选择新模版属性中的安全，将本地管理员(administrator)和域用户(Domain User)赋予读取、注册、自动注册的权限。