CA(证书颁发机构)服务器配置图解过程

CA服务器的安装与配置
新建一个网站，并设好IP。

然后再右击属性，申请证书。

然后停用这个网站，用默认网站去申请证书等等。

如图
然后单击高级证书申请。

进入页面之后
再进入所选目标，之后将保存在默认c 盘中的代码复制如图
显示如图
然后进入证书机构颁发证书
然后颁发证书。

然后返回到先前的网站上点击主业查看证书挂起状态。

显示如图
下载证书到桌面
再进入新建的网站右击属性
证书安装成功
然后进入到网站进入主页再申请一个证书这次选中web证书申请
进入之后可随便填但是国家最好填ch 提交之后设置安全级别为高
密码自己设置一个别搞忘了不然后果自负。

完成之后再进入证书颁发机构再颁发证书，方法如上。

颁发完后再查看证书挂起状态再安装证书
之后停用默认网站启用新建网站
最后一点必须更改就是右击新建的网站进入编辑
更改如图。

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

CA服务器
实验拓扑
安装过程
1.在“开始” “控制面板”中选择“添加或删除程序”选项。

2.在“添加或删除程序”窗口中，单击“添加/删除Windows组件”选项。

注册支持后，点击确定
4.点击下一步->选择独立根->下一步
5.输入CA公司名称->下一步
6.选择各文件路径->下一步->完成
7.选择“开始”->程序->管理工具->证书颁发机构
8.使用WEB申请证书
9.使用服务器颁发证书
10.客户端查看并安装证书
11.在Internet选项中查看证书
12.CA服务器吊销证书
吊销后
使用mmc控制台查看证书
1.打开开始菜单->运行->输入mmc->确定
2.在控制台选择->文件->添加/删除管理单元
3.选择添加->证书
4.右击证书->属性。

CA证书颁发机构（中心）安装图文详解如果你需要在组织里发布exchange，或者需要给IIS配置SSL的访问方式，则需要部署CA，关于CA的应用，后续会有几篇文章来专门叙述，本文仅仅介绍CA证书颁发机构的安装，这也是SSL应用的基础工作。

阅读本文，你将了解到以下内容◆什么是CA及CA的作用◆安装CA的准备条件◆如何CA安装◆何为根证书在安装CA前，我们需要了解什么是CA。

字面上理解，CA即Certificate Authority ，也就是证书授权中心，对于这6个字，如何理解？来帮大家逐字分析一下：中心：可以得知首先它是一个集中化的管理某种东西的一个系统或者说是一个平台授权：可以理解为，如果需要得到某种东西、或者实现某些目的需要通过这个中心进行认证，获得许可以后才可以继续操作。

证书：证书的最大作用就是通过某种东西来证明某种东西的合法性和存在性。

总结一下，为了实现证明及安全的目的，我们建立了一套系统或者平台，它可以用来证明某些事物的合法性和真实存在性，并且为此提供足够强的保护，从而来抵御外界的攻击。

这就是证书认证系统或者证书授权中心。

概念似乎很抽象，不过后面会讲到更多的应用，当你理解这些应用后，再回过头来看这段话就会觉得很好理解。

我们开始吧，首先介绍一下CA安装的基础环境。

基础环境：1、服务器版本操作系统，2000ser或2003 ser ,2008 ser等2、安装CA前，请先安装好IIS。

一、安装CA1、首先打开添加与删除程序，找到添加与删除组件，找到证书服务当我们选中证书服务的时候，系统会弹出一个提示大致意思是由于安装CA后会将计算机名绑定到CA是并会存储在活动目录中，所以装完CA后无法修改计算机名称，我们这里点击YES，这里有4种CA类型可供选择。

有2大类，企业根CA和独立根CA，各自又有一个从属的CA。

从属CA是为上级CA授权给下级CA机构来颁发证书准备的，就范围和功能性而言，企业CA较独立CA更广，更强大。

Windows CA 证书办事器配置(一) —— Microsoft 证书办事安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，检察IIS治理器，如下：添加‘证书办事’组件：如果您的呆板没有安装运动目录，在勾选以上‘证书办事’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装运动目录，点击‘是’，窗口跳向如下：默认情况下，‘用自界说设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：Microsoft 证书办事的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以凭据需要做相应的选择，这里我们使用默认。

点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部分等）可在‘可辨别名称后缀’中添加，有效期限默认为5年（可凭据需要作相应窜改，此处默认）。

点击‘下一步’：点击‘下一步’进入组件的安装，安装历程中可能弹出如下窗口：单击‘是’，继承安装，可能再弹出如下窗口：由于安装证书办事的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请办事，该办事系统用ASP写就，所以必须为IIS启用ASP功效，点击‘是’继承安装：‘完成’证书办事的安装。

开始》》》治理东西》》》证书发表机构，打开如下窗口：我们已经为办事器乐成配置完公用名为AAAAA的独立根CA，Web办事器和客户端可以通过访问该办事器的IIS证书申请办事申请相关证书。

此时该办事器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：Windows CA 证书办事器配置(二) ——申请数字证书在IE地点栏中输入证书办事系统的地点，进入办事主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有许多专业术语，高级用户也可点击进入进行申请。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

Windows2003中CA服务器的安装与配置CA是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：安装步骤一、安装证书服装器用一个证书的服务器来颁发证书，然后再使用这个证书。

CA的公用名称：windows2003A二、要在配置的网站上申请证书(草稿）找到我们配置的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，去申请一个证书。

“新建一个证书”，在国家时“必须选CN中国“，下面省市：江苏省，邳州市，最后要生成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式向证书机构去申请一个证书（正式申请）在网页地址栏中输入：http://localhost/certsrv这样一个地址local本地host是主机：localhost本地主机/certsrv这个cert这证书server srv服务器certsrv:证书服务器。

1、申请一个证书2高级证书申请3、选择一个bAse64这个证书4、把刚才生成的申请书文件：certrreg.txt文件中的内容全部复制到网页中保存的申请框中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁发证书到“证书颁发机构”-选择"挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

五、要把这个已经颁发过的证书下载下来。

方法就是：1、http://localhost/certsrv2、查看挂起的证书申请的状态，如果有一个，就下载这个证书：用BASE64这个类型的证书，把这个证书保存起C：\certnew.cer这样一个新证书。

六、使用这个证书来完成CA服务器的配置。

右击“这个网站的名字myweb",选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到C：\certnew.cer这样一个证书用上就可以了。

试验拓扑：
试验内容以及拓扑说明：
试验内容：独立根CA服务器与独立从属CA服务器搭建以及客户端证书申请
试验拓扑说明：图中server1担任独立根CA服务器，server2担任独立从属CA服务器，另外三台客户机，分别为client1、client2和client3.
试验配置过程：
第一步：构建独立根CA服务器，我需要先安装IIS（证书服务安装过程中会在IIS的默认网站中写入虚拟目录，如果没有IIS的话，无法通过web浏览器的方式申请证书），然后再安装证书服务，配置过程如下：
安装完成后，如图：
证书服务的安装过程：
安装完成后，客户端即可申请证书，由于是独立根CA，而且我们不是域环境，所以我们只能通过web浏览器申请证书：http://CA服务器的ip地址或者计算机名/certsrv，如图：
再由CA服务器的管理员手工颁发证书，打开证书服务器server1，选择管理工具---证书颁发机构，颁发证书：
可以通过Internet选项的“内容”或者MMC证书管理单元进行查看
安装独立从属CA，它必须先从独立根CA申请证书后才可以正常使用
证书请求文件已经生成，然后利用请求文件再向CA服务器发送证书请求，申请证书
选择“使用base64编码的那个选项”，然后把申请的请求文件（后缀为.req）使用记事本打开，并将内容全部复制到空白处，如下图：
本文出自“陈宣宋微软技术空间” 博客，请务必保留此出处。

(1)开启两台windows server 2003，windows server 2003（1）作为CA证书服务器，windows server 2003（2）作为客户端①Windows server 2003（1）的IP地址为192.168.1.1 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

②Windows server 2003（2）的IP地址为192.168.1.2 子网掩码为255.255.255.0 DNS为192.168.1.1，同为Vmnet3网段。

③测试两台PC的连通性(2)在windows server 2003(1)配置Web服务①安装web服务，开始----控制面板----添加与删除程序----添加/删除windows组件②在E盘下建立一个ok文件夹，在此文件夹下建立一个index.htm的网页文档，里面内容为“很高兴为您服务”③配置web服务，开始----管理工具----Internet信息服务（IIS）管理器④右键“默认网站”----属性----主目录，将网页文档的存放位置添加上去⑤在客户端的IE浏览器输入服务器的IP地址，即http://192.168.1.1，看是否正常浏览(3)在windows server 2003（1）配置CA证书服务①安装CA证书服务，开始----控制面板----添加与删除程序----添加/删除windows组件②开始----管理工具----Internet信息服务（IIS）管理器，在默认网站下看是否成功建立CertSrv 的站点，出现则安装成功。

③右键“默认网站”----属性----目录安全性④申请一个证书，在CA证书服务器上的IE浏览器上输入http://192.168.1.1/certsrv⑤将挂起的证书颁发，开始----管理工具----证书颁发机构⑥下载证书，在CA证书服务器的IE浏览器输入http://192.168.1.1/certsrv⑦在windows server 2003（1）安装证书，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑧启用安全通道SSL，开始----管理工具----Internet信息服务(IIS)管理器----右键“默认网站”----属性----目录安全性⑼在windows server 2003（2）IE浏览器输入https://192.168.1.1。

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。

它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。

使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障；注：数字证书，下面均简称证书；二、如何搭建证书服务器？搭建证书服务器步骤如下：1、登陆Windows Server 2008服务器；2、打开【服务器管理器】；（图2）3、点击【添加角色】，之后点击【下一步】；（图3）4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；（图4）5、进入证书服务简介界面，点击【下一步】；（图5）6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；（图6）7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”）(图7) 8、首次创建，勾选【根CA】，之后点击【下一步】；（图8）9、首次创建勾选【新建私钥】，之后点击【下一步】；（图9）10、默认，继续点击【下一步】；（图10）11、默认，继续点击【下一步】；（图11）12、默认，继续点击【下一步】；（图12）13、默认，继续点击【下一步】；（图13）14、点击【安装】；（图14）15、点击【关闭】，证书服务器安装完成；（图15）Windows Server 2008上使用IIS如何配置WEB服务器上证书应用（SSL应用）？此应用用于提高WEB站点的安全访问级别；配置后应用站点可实现安全的服务器至客户端的信道访问；此信道将拥有基于SSL证书加密的HTTP安全通道，保证双方通信数据的完整性，使客户端至服务器端的访问更加安全；注：以证书服务器创建的WEB站点为示例，搭建WEB服务器端SSL证书应用步骤如下：1、打开IIS，WEB服务器，找到【服务器证书】并选中；（图1）2、点击【服务器证书】，找到【创建证书申请】项；（图2）3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，填写中需要注意的是：“通用名称”必需填写本机IP或域名，其它项则可以自行填写；注：下面的为示例机IP地址，实际IP地址需根据每人主机IP自行填写；填写完后，单击【下一步】；（图3）4、默认，点击【下一步】；（图4）5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭；（图5）6、接下来，点击IE（浏览器），访问：http:///certsrv/；注：此处的为示例机IP地址，实际IP地址需根据每人主机IP自行填写；（图6-1）此时会出现证书服务页面；此网站如果点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能；（图6-2）在进行后继内容前，相关术语名词解释：HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。

这里我们以点击申请‘Web浏览器证书’为例：申请‘Web浏览器证书’，‘姓名’是必填项，其他项目可不填，但由于CA服务器的管理员是根据申请人的详细信息决定是否颁发的，所以请尽量多填，并且填写真实信息，因为CA管理员会验证申请人的真实信息，然后进行颁发。

需注意的一点是，‘国家（地区）’需用国际代码填写，CN代表中国。

如果想查看更多选项，请点击‘更多选项’：在‘更多选项’里，默认的CSP为Microsoft Enhanced Cryptographic Provider v1.0，选择其他CSP不会对认证产生影响。

默认情况下‘启用强私钥保护’并没有勾选上，建议将它勾选上，点击提交后就会让申请人设置证书的安全级别，如果不将安全级别设置为高级并用口令进行保护，则只要机器上装有该证书，任何人都可以用它作为认证，所以建议将证书设置为高级安全级别，用口令进行保护。

以下将作相应操作，点击‘提交’：单击‘是’：单击‘设置安全级别’：将安全级别设置为‘高’，单击‘下一步’后会弹出口令设置窗口：输入口令，对证书进行加密，并记住密码，因为在以后调用该证书的时候，浏览器会弹出输入密码的窗口。

单击‘完成’：单击‘确定’，浏览器页面跳向如下：到这一步，申请人已经向CA服务器发送证书信息，并等待CA管理员对其进行核对，然后决定是否要颁发，如果CA管理员核对信息后决定颁发此证书，则申请人在其颁发之后再次访问该系统：点击‘查看挂起的证书申请状态’：该页面证明CA管理员已经颁发了申请人的证书，点击进入证书安装页面：点击‘安装此证书’：您应该已经信任CA机构，所以请单击‘是’：您已经成功安装数字证书。

CA安装使用操作说明一、概述CA（Certificate Authority，数字证书认证机构）是一种用于管理和颁发数字证书的机构或服务。

它通过数字签名的方式，对证书申请者的身份进行验证，并向其颁发数字证书，以确保其身份的可信性和信息的安全性。

本文将介绍CA的安装和使用操作说明。

二、安装CA2.安装CA软件双击安装包，按照安装向导的提示进行安装。

选择合适的安装目录，完成安装过程。

3.配置CA参数打开CA软件，进入配置界面，根据实际需求进行参数配置。

主要包括证书有效期、证书签名算法、CA私钥保护密码等。

4.生成CA根证书在CA软件中，选择“生成CA根证书”，按照要求填写相关信息，包括CA名称、组织名称、邮件地址等。

点击“生成”按钮，生成CA根证书。

5.导出CA根证书在CA软件中，选择“导出CA根证书”，选择导出格式（如PEM、DER等），选择导出路径，点击“导出”按钮，将CA根证书保存到指定位置。

三、使用CA1.申请证书在需要使用CA签发证书的系统或应用中，打开证书申请界面，填写相关信息，包括申请者姓名、单位名称、电子邮件等。

点击“申请”按钮，生成证书申请文件。

2.提交证书申请打开CA软件的证书管理界面，选择“提交证书申请”，选择证书申请文件，点击“提交”按钮，将证书申请发送给CA。

3.审核证书申请在CA软件的证书管理界面，选择“审核证书申请”，选择待审核的证书申请文件，点击“审核通过”按钮，对证书申请进行审核。

4.签发证书在CA软件的证书管理界面，选择“签发证书”，选择已审核通过的证书申请文件，点击“签发”按钮，CA将对证书申请进行数字签名，生成证书。

5.导出证书在CA软件的证书管理界面，选择“导出证书”，选择要导出的证书，选择导出格式，选择导出路径，点击“导出”按钮，将证书保存到指定位置。

6.使用证书将导出的证书安装到需要使用证书的系统或应用中，根据具体的系统或应用进行配置和使用。

四、CA管理1.证书吊销在CA软件的证书管理界面，选择要吊销的证书，点击“吊销”按钮，将被吊销证书的状态更改为吊销状态。