Windows server 2008安装企业CA证书服务

Windowsserver上CA证书的建立颁发安装一、测试环境配置 (1)1、win2003系统_1 (1)1.1. 安装IIS以承载CA证书服务 (1)1.2. 安装证书服务，CA的公用名称设置为TestCA (1)2、win2003系统_2 (2)2.1. 安装IIS (2)3、win2003系统_3 (2)二、配置过程 (3)1、win2003系统_2申请并配置IIS 的SSL的服务端证书 (3)1.1. 生成证书申请文件 (3)1.2. 提交证书申请 (8)1.3. 颁发证书 (8)1.4. 上安装证书 (9)1.5. 将web站点配置为要求SSL 访问 (11)1.6. 测试IE使用SSL浏览 (11)2、win2003系统_3申请安装客户端证书ClientCert2003 (12)3、在win2003系统_2上设置客户证书映射 (12)3.1. Web服务器上导入客户端证书 (12)3.2. 导入客户端证书的根证书 (13)3.3. 设置IIS中网站的客户端证书映射 (16)3.4. Web网站读取客户端映射的windows账户 (18)三、测试 (18)本文给出了如何配置IIS通过SSL安全通道进行访问的方法，并在此基础上详细讨论了IIS 如何设置要求对客户端提供客户端证书进行身份验证。

IIS端SSL服务器证书申请和安装，从而配置SSL安全访问通道。

客户端证书的申请和安装，IIS端如何映射客户端证书到服务器上的windows账户等等。

一、测试环境配置准备三台机器，都是windows 2003操作系统，每台机器的作用，和其上需要安装的服务和配置如下：1、win2003系统_1ip：192.168.1.11机器名：win2003base1服务器作用：这个服务器是用来安装证书服务，作为一个CA提供证书服务。

1.1.安装IIS以承载CA证书服务1.2.安装证书服务，CA的公用名称设置为TestCA在安装证书服务过程中会生成一个证书服务的证书，一个自己颁给自己的证书作为这个CA的根证书：在安装了证书服务后，会把这个TestCA证书保存证书存储区的多个位置：●本地计算机存储区中的“个人”、“受信任的根证书颁发机构”、“中级证书颁发机构”，其中在“中级证书颁发机构”下的“证书”和“证书吊销列表”中都有（为什么会出现在“证书吊销列表”中？）。

CA的架设与证书的管理阶段一一、实验目的CA服务器为客户端提供CA证书服务二、实验环境1、在一台windows server 2008 r2 操作系统上安装DNS服务器并兼CA服务器，主机名为king1King1配置为IP：192.168.1.250、NDS：192.168.1.250、网关：192.168.1.2542、客户端为XP系统，配置为IP：192.168.1.1、NDS：192.168.1.250、网关：192.168.1.254三、安装ADCS与架设根CA1、选择“角色”，然后选择“添加角色”勾选“Active Directory证书服务”，然后点击下一步向导”界面，点击“添加所需要的角色服务”3、完成后点击下一步注意要点：（1）工作组环境只能选择独立CA，不能选择企业CA（2）AD域环境下，企业CA和独立CA都能选择（3）如果网络中没有根CA，一定要先安装根CA创建CA根4、私钥要创建新的，因为没有旧的5、加密，选择默认的加密程序及算法秘钥长度，越长加密越强，但效率越低6、填写一个CA公用名称，此处填写的是robin-CA，域环境下需要填写可分辨名称后缀7、根证书默认时长为5年8、路径可以更改，此处默认9、点击安装后选择下一把步10、安装完成后显示的界面四、根证书的申请以及客户端信任CA设置1、在客户端浏览器上输入/certsrv或IP地址：192.168.1.250/certsrv来进行访问，然后选择页面中的“下载CA 证书、证书链或CRL（证书吊销列表）”2、在win7或R2中，会因为IE阻止此站点以不安全的方式使用ActiveX控件导致网页显示不正确，以至于不能直接选择安装此CA的证书链。

因此需要下载证书或证书链。

我们这里点击“下载CA证书链”。

3、默认证书或证书链的名字为“certnew.p7b”,这里保存到桌面4、保存效果如下图5、右键单击安装证书5、指定放入存储区，点击下一步6、下一步完成后直到导入证书成功7、在客户端Internet选项上点击--内容--证书，可以查看到已经安装到root-CA的证书五、证书的管理1、CA证书的备份与还原（1）备份操作设置一个强密码备份完成（2）还原操作还原完成2、管理证书模板非域环境，显示不了，这里略企业CA提供了许多其他模板，需要先开启，用户才可申请。

1.4 习题一、填空题（1）Windows Server 2008 R2版本共有6个，每个Windows Server 2008 R2都提供了关键功能，这6个版本是：、、、、、。

（2）Windows Server 2008所支持的文件系统包括、、。

Windows Server 2008系统只能安装在文件系统分区。

（3）Windows Server 2008有多种安装方式，分别适用于不同的环境，选择合适的安装方式可以提高工作效率。

除了常规的使用DVD启动安装方式以外，还有、及。

（4）安装Windows Server 2008 R2时，内存至少不低于，硬盘的可用空间不低于。

并且只支持位版本。

（5）Windows Server 2008要管理员口令要求必须符合以下条件：①至少6个字符；②不包含用户账户名称超过两个以上连续字符；③包含、大写字母（A～Z）、小写字母（a～z）4组字符中的3组。

（6）Windows Server 2008中的，相当于Windows Server 2003中的Windows 组件。

（7）Windows Server 2008安装完成后，为了保证能够长期正常使用，必须和其他版本的Windows操作系统一样进行激活，否则只能够试用。

（8）页面文件所使用的文件名是根目录下的，不要轻易删除该文件，否则可能会导致系统的崩溃。

（9）对于虚拟内存的大小，建议为实际内存的。

（10）MMC有和模式。

二、选择题（1）在Windows Server 2008系统中，如果要输入DOS命令，则在“运行”对话框中输入（）。

A、CMDB、MMCC、AUTOEXED、TTY（2）Windows Server 2008系统安装时生成的Documents and Settings、Windows以及Windows\System32文件夹是不能随意更改的，因为它们是（）。

A、Windows的桌面B、Windows正常运行时所必需的应用软件文件夹C、Windows正常运行时所必需的用户文件夹D、Windows正常运行时所必需的系统文件夹（3）有一台服务器的操作系统是Windows Server 2003，文件系统是NTFS，无任何分区，现要求对该服务进行Windows Server 2008的安装，保留原数据，但不保留操作系统，应使用下列（）种方法进行安装才能满足需求。

CA认证软件安装与配置文档一、服务器端设备证书安装与配置系统安装分为两种情况：WINDOWS平台安装和UNIX平台安装。

1.WINDOWS平台安装1.1.在安装前先插好设备证书载体（USBKEY）。

1.2.运行安装光盘中的windows.exe安装文件，按窗口提示，点击“下一步”。

1.3.在安装过程中出现“设备证书导出工具”窗口，根据不同应用系统输入不同的“输出文件名”。

对于联网监测应用输入“HRSIND”；对于基金监管应用输入“SIFS”；对于异地总线输入“RDTB”。

异地总线请选择“导出C环境使用证书”，其他各个系统选择“JAVA环境使用证书”。

1．4点击“导出证书”按钮后，出现如下提示窗口，窗口中“输入证书保护口令”使用系统默认口令，不需要修改。

点击确定后，系统会导出相应的设备证书和有关文件。

1．5安装完毕，显示如下画面，单击“完成”即可完成安装。

注：安装完成后，在系统的C:\Program Files\目录下会产生hrssca文件夹。

1．6配置证书列表更新服务器域名打开并编辑C:\WINDOWS\system32\drivers\etc\hosts文件，在最后一行添加：“ldap.mohrss”。

1．7运行证书列表更新服务程序进入C:\Program Files\hrssca\CRL_EXE目录或“桌面”，运行run.bat，会出现相应的运行窗口（此窗口不能关闭，否则CRL列表文件无法及时更新）：1．8检查C:\Program Files\hrssca\CRL目录下是否已产生crlFile.crl文件。

如果有，则部署成功；如果没有，请检查当前服务器与部端网络是否通畅，可通过“ping ldap.mohrss”进行网络检查。

2.UNIX平台安装2．1在安装有WINDOWS操作系统的终端上，运行安装光盘中的unix.exe 安装文件。

2．2按照“WINDOWS平台安装”的操作步骤进行安装。

2．3安装完成后，在系统的C:\Program Files\目录下会产生hrssca文件夹，请将此文件夹拷贝到需要部署的UNIX服务器中的/usr/local目录下。

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装2008-09-2410:03安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定'，安装完毕后，查看IIS管理器，如下：添加”证书服务“组件如果您的机器没有安装活动目录，在勾选以上‘证书服务'时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是'，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书'没有勾选，我们勾选之后点击‘下一步'可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong CryptographicProvider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步'：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀'中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步'点击‘下一步'进入组件的安装，安装过程中可能弹出如下窗口：单击‘是'，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是'继续安装：‘完成'证书服务的安装。

开始 --》管理工具 --》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：。

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

第二章安装Windows server2008企业版一、实验目的1．创建Windows Server 2008虚拟机2．在虚拟机中安装操作系统Windows Server2008企业版二、实验拓扑（忽略）三、实验步骤1 桌面打开虚拟机新建虚拟机，选择标准点击下一步（如下图）2 然后选择第三个我将操作系统以后安装下一步（如下图）.3 如下图界面选择windows 版本选择windows server 2008 下一步4 如下图虚拟机名称随便起名位置除了系统盘存到其他空间比较大点的盘然后下一步5 如下图最大磁盘建议为40.0 点击下一步再下一步6 如下图选择CPU（processors）双击打开窗口7 如下图选择CPU双核2 点击OK8 如下图然后选择第三项CD/DVD （IDE）双击打开窗口9 如下图选择use ISO image file 在本地电脑找到镜像压缩包位置点击OK界面11 如下图可做选择或者默认点击下一步12. 如下图鼠标点击现在安装13. 如下图界面选择第二项操作系统windows server2008 Enterprise (完全安装)然后点击下一步。

14. 如下图选择打勾我接受许可条款点击下一步15. 如下图界面选择自定义（高级）点击进入下一步16. 如下图鼠标左击磁盘然后左点击下方驱动器选项（高级）17. 如下图选择新建（添加磁盘）18. 如下图主分区大小40960MB 把主分区分配成30960 然后点击应用分配出个磁盘19. 如下图选择主分区点击下方格式化（F）然后点击下一步20. 如下图进入操作系统安装状态界面（等待…时间会有点久）安装完毕后会自动重启。

21.如下图设置管理员密码先点击确定22. 如下图设置系统管理员密码设置好了后选择向右方向的箭头点击23. 如下图管理员密码更改成功点击确认24. 进入操作系统桌面，安装完毕。

四、实验总结在虚拟机中安装操作系统Windows Server 2008企业版，最后得出安装成功。

实验7 Windows Server 2008 R2中的证书服务1 实验目的通过实验掌握Windows Server 2008 R2中证书服务的安装与使用。

2 实验环境VMware中两台Windows Server 2008 R2计算机：Win2008R2与CWin2008R2，一台XP/Win7客户机，它们之间均可以互相访问。

服务器Win2008R2的IP地址假定为192.168.10.2，CWin2008R2的IP地址为192.168.10.3。

3 实验原理3.1 Wind ows Server 2008 R2中证书服务的特点证书与生活中的“证书”功能相似，都是由信任的证书颁发机构或第三方机构颁发的，并且不同的证书只能应用于特定的领域。

数字证书是一段由证书颁发机构（CA）数字签名、包含用户身份信息和用户公钥信息以及身份验证机构数字签名的数据，用于代表用户的身份。

其中，身份验证机构的数字签名可以确定证书信息的真实性，而用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。

Windows Server 2008 R2中集成的PKI（Public Key Infrastructure，公共密钥基础结构）系统提供了证书服务功能，可以让用户通过Internet/Extranet/Intranet安全地交互敏感信息，以确保电子邮件、电子商务交易、文件发送等各类数据的安全性。

Windows Server 2008 R2通过创建一个证书机构CA（Certification Authority认证中心）来管理其公钥基础设施PKI，以提供证书服务。

一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。

Windows Server 2008 R2证书服务创建的CA 可以接收证书请求、验证请求信息和请求者身份、颁发和撤销证书，以及发布证书废除列表CRL（Certificate Revocation List）。

Windows Server 2008 CA认证实验2CAServer配置：这里安装证书服务器就行了，它默认会安装IIS服务器，点击下一步这里有独立CA和企业CA两种，独立CA是在普通的工作组中的，企业CA是在域中做的，点击下一步选择根CA，点击下一步选择默认的，点击下一步点击下一步，下面的步骤都是默认。

DNS+IIS配置：点击下一步，下面都是默认这里点击下载CA证书、证书链或CRL是为了让IIS和CA取的信任关系，如果CA和IIS在同一台计算机上面是不需要申请的。

点击下载CA证书到桌面安装完成之后就与CA证书服务器取的信任了通用名称写自己的ip地址和域名，点击下一步点击下一步将文本保存在桌面点击申请证书点击高级证书申请点击图中红框将桌面上申请证书的文本中的字符串复制进来，点击提交下面是在CAServer上颁发证书在证书服务器上面看到刚刚申请的证书，在CAServer上面点击颁发在去DNS+IIS上面下载证书点击查看挂起的证书将证书下载到桌面并命名为certnew1点击完成证书申请将下载在桌面上的certnew1进行网站绑定，点击下一步将网站绑定成https，ssl证书是cz，点击确定在网站SSL设置中点击必需要证书才能访问网站，点击应用Client配置：没有下载证书是不能访问网站的先与CA服务器取的信任关系下载CA证书到桌面点击安装证书到受信任的根证书颁发机构点击申请证书点击高级证书申请点击创建并向此CA提交一个申请点击提交在去CAServer上面颁发证书在Client上面查看挂起的证书，并将其安装------------------------------------------------------------------------------------------------------------------- Windows server 2008客户端和xp不同的地方在在申请高级证书的时候，提交是灰显的，必需启用以下2项，才会出现提交，其余配置相同。

微软证书颁发机构CA迁移本次测试微软证书颁发机构从Windows Server 2003迁移到Windows Server 2008 R2，源CA服务器同时也AD服务器。

为了验证证书迁移完成后，不会对现有的使用证书的应用服务造成应影响，本环境部署一台Exchange Server 2010服务器。

参考网站：https:///zh-cn/library/ee126170(WS.10).aspx1.操作系统版本选择如果组织中的CA需要创建自定义证书模板，或修改一些自定义的设置，推荐目标服务器的操作系统版本为Windows Server 2008 R2 企业版，标准版不支持自定义证书模板。

2.备份源CA服务器备份的作用是以便于在迁移失败后恢复源CA服务器。

使用命令ntbackup备份源CA服务器，2.1.备份CA模板列表使用Certutil.exe 记录CA 模板列表1)使用本地管理凭据登录到CA 服务器；2)使用命令certutil.exe -catemplates > c:\catemplates.txt；3)验证catemplates.txt 文件是否包含模板列表。

2.2.记录CA的签名算法和CSP使用Certutil.exe 记录CA 的CSP1)使用本地管理凭据登录到CA 计算机；2)使用命令certutil.exe -getreg ca\csp\* > c:\csp.txt；3)验证csp.txt 文件是否包含CSP 详细信息。

2.3.备份CA数据库和私钥1)在CA服务器上，打开管理工具》证书颁发机构》右键》所有任务》备份CA2)勾选私钥和数据库，如果以前有备份过，可以选择增量备份，选择备份路径3)输入任意密码，然后下一步完成4)备份完成后会生成如下2个文件2.4.备份CA注册表1)在CA服务器上，“运行”》“regedit”，打开注册表；2)在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc中，右键单击“Configuration”，然后单击“导出”；3)指定位置和文件名，然后单击“保存”。

基于Windows 2008 server 搭建域控、域认证、智能卡登录部署说明北京天威诚信电子商务服务有限公司2011年6月文档属性目录一、安装DNS服务和安装IIS服务 (1)二、配置活动目录 (3)三、安装证书服务 (14)四、配置证书服务 (22)五、申请注册代理证书 (26)六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey (35)七、配置活动目录信任iTrusCA2.4集成项说明 (36)八、添加第三方CA到活动目录的NTAuth store (37)九、配置组策略，分发根证书到所有域成员 (40)十、控制台本地计算机证书管理中导入信任根CA和中级CA (44)一、安装DNS服务和安装IIS服务点击“开始”->“所有程序”->“管理工具”->“服务器管理器”，在“服务器管理器”里面选择“角色”，并在右边点击“添加角色”。

选择“DNS服务器”和Web服务器（IIS）点击“下一步”，所有选项默认选择直至到达“安装页面”；安装完成，查看“DNS服务器”和“IIS服务”是否安装成功，点击“关闭”按钮二、配置活动目录返回“服务器管理”的“角色”页面点击“添加角色”，选择“Active Directory域服务”。

点击“安装”！安装完成，查看安装是否成功，点击“关闭”按钮！返回“服务器管理”页面，选择“Active Directory域服务”点击“运行Active Diretory域服务安装向导（dcpromo.exe）”不选择“使用高级模式安装”，点击“下一步”！选择“在新林中新建域”，点击“下一步”！在“目录林根级域的FQDN”处添加域名（可自定义填写），点击“下一步”在“林功能级别”处选择“Windows Server 2003”，点击“下一步”！在“域功能级别”处选择“Windows Server 2003”点击“下一步”点击“下一步”！在“Active Directory域服务安装向导”对话框点击“是”继续！默认路径无需更改点击“下一步”输入密码：Ab123456（可自定义，但要按照域的对密码的规格：大小写字母加数字！！）点击“下一步”！选择本服务器上安装配置DNS服务器，并设为本机首选DNS服务器，点击“下一步”；AD域服务安装完成，选择“完成后重新启动”选项，重启计算机；三、安装证书服务开机自动显示“初始配置任务”窗口，或是在“运行”里面输入“oobe”开启该窗口点击“添加角色”！点击“下一步”按钮！选择“Active Directory 证书服务”点击“下一步”！点击“下一步”！选择“证书颁发机构”和“证书颁发机构Web注册”两项，点击“下一步”！在弹出的“添加角色向导”对话框里面，点击“添加必需的角色服务”！选择“企业”，点击“下一步”选择“根CA”，点击“下一步”！选择“新建私钥”，点击“下一步”！此页面的选项默认选择。

1、将证书颁发机构(CA) 配置为支持OCSP响应程序时涉及下列步骤：（在CA服务器上）1)打开“证书模板”管理单元。

2)右键单击“OCSP 响应签名”模板，然后单击“属性”。

3)单击“安全”选项卡。

在“组或用户名”下，单击“添加”。

4)单击“对象类型”，选中“计算机”复选框，然后单击“确定”。

5)键入托管联机响应程序或 OCSP 响应程序服务的计算机的名称或通过浏览选择该计算机，然后单击“确定”。

6)在“组或用户名”对话框中，单击该计算机的名称，然后在“权限”对话框中，选中“读取”和“注册”复选框。

然后单击“确定”。

7)打开“证书颁发机构”管理单元。

8)在控制台树中，单击 CA 的名称。

9)在“操作”菜单上，单击“属性”。

10)单击“扩展”选项卡。

11)在“选择扩展”列表中，单击“颁发机构信息访问(AIA)”，然后单击“添加”。

12)指定用户可以从其获取证书吊销数据的位置，例如http://computername/ocsp。

（computer 是安装联机响应器的机器）13)选中“包括在联机证书状态协议 (OCSP) 扩展中”复选框。

14)在“证书颁发机构”管理单元的控制台树中，右键单击“证书模板”，然后单击“要颁发的新证书模板”。

15)在“启用证书模板”中，选择“OCSP 响应签名”模板以及任何其他以前配置的证书模板，然后单击“确定”。

16)双击“证书模板”，然后验证列表中出现的已修改的模板。

2、在另外一台计算机上只安装OCSP3、创建吊销配置(在OCSP服务器上)1)打开“联机响应程序”管理单元。

2)在控制台树中，单击“吊销配置”。

现有吊销配置的列表将出现在详细信息窗格中。

3)在“操作”窗格中，单击“添加吊销配置”启动添加吊销配置向导。

验证此实验1、客户端申请一个用户证书2、在 CA 上，使用“证书颁发机构”管理单元查看和吊销一个或多个已颁发的证书，方法是单击“证书颁发机构（计算机）\CA 名称\颁发的证书”，然后选择要吊销的证书。

Windows Server 2008 CA认证实验Windows Server 2008支持两种证书服务器，分别是应用于企业内部的企业证书服务器和用于企业或Internet的独立证书服务器。

其中，企业证书服务器应用于域环境，需要AD的支持，用户可以直接向证书服务器申请并安装证书；而独立根证书服务器应用于非域环境。

Win2008只有企业版和数据中心版支持web注册功能，标准版和web版不支持。

本实验用3台win2008做一个独立根CA实验。

如果电脑配置差，Client可以用xp代替。

实验拓扑：准备工作：这里域名为，IP地址如上图所示。

此实验在VM7中进行，三台电脑网卡全部桥接；当然也可以全部建在一个分组内做实验。

实验心得：我做实验的电脑内存是3G，系统自动给win2008分配的内存是1G，物理机我用的是XP，导致很卡，所以要手动给虚拟机分配内存900M，这样3台win2008消耗2.7G内存，留下300多M给XP。

下面对客户机IE浏览器做设置：打开Internet选项，调整安全级别：➢将对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本（不安全）；必须启用➢允许运行以前未使用的ActiveX控件而不提示；必须启用➢下载未签名的ActiveX控件（不安全）；启用➢下载已签名的ActiveX控件（不安全）；启用➢使用仿冒网站筛选；禁用➢没有证书或只有一个证书时不提示进行客户端证书选择；如果不想有证书选择提示窗口，可以把它启用。

实验心得：平时做实验，我们可以把安全性降到最低，以免干扰实验。

前2个必须启用，否则在申请证书时会跳出对如下对话框：下面安装第一台CA服务器：首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。

如下图所示单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。

后者主要是通过web界面来进行证书的相关操作。

如下图所示。

单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。

Windows CA 证书服务器配置(一) —— Microsoft 证书服务安装安装准备：插入Windows Server 2003 系统安装光盘添加IIS组件：点击‘确定’，安装完毕后，查看IIS管理器，如下：添加‘证书服务’组件：如果您的机器没有安装活动目录，在勾选以上‘证书服务’时，将弹出如下窗口：由于我们将要安装的是独立CA，所以不需要安装活动目录，点击‘是’，窗口跳向如下：默认情况下，‘用自定义设置生成密钥对和CA证书’没有勾选，我们勾选之后点击‘下一步’可以进行密钥算法的选择：Microsoft 证书服务的默认CSP为：Microsoft Strong Cryptographic Provider，默认散列算法：SHA-1，密钥长度：2048——您可以根据需要做相应的选择，这里我们使用默认。

点击‘下一步’：填写CA的公用名称（以AAAAA为例），其他信息（如邮件、单位、部门等）可在‘可分辨名称后缀’中添加，有效期限默认为5年（可根据需要作相应改动，此处默认）。

点击‘下一步’：点击‘下一步’进入组件的安装，安装过程中可能弹出如下窗口：单击‘是’，继续安装，可能再弹出如下窗口：由于安装证书服务的时候系统会自动在IIS中（这也是为什么必须先安装IIS的原因）添加证书申请服务，该服务系统用ASP写就，所以必须为IIS启用ASP功能，点击‘是’继续安装：‘完成’证书服务的安装。

开始》》》管理工具》》》证书颁发机构，打开如下窗口：我们已经为服务器成功配置完公用名为AAAAA的独立根CA，Web服务器和客户端可以通过访问该服务器的IIS证书申请服务申请相关证书。

此时该服务器（CA）的IIS下多出以下几项：我们可以通过在浏览器中输入以下网址进行数字证书的申请：http://hostname/certsrv或http://hostip/certsrv申请界面如下：Windows CA 证书服务器配置(二) ——申请数字证书在IE地址栏中输入证书服务系统的地址，进入服务主页：点击‘申请一个证书’进入申请页面：如果证书用作客户端身份认证，则可点击‘Web浏览器证书’或‘高级证书申请’，一般用户申请‘Web浏览器证书’即可，‘高级证书申请’里有更多选项，也就有很多专业术语，高级用户也可点击进入进行申请。