Windows CA系统

合集下载

Windows域控制器布置企业CA故障分析

Trouble Shooting而楼层交换平台不支持STP 置类型时，“独立CA”选的，“企竟然是灰使用企业CA 的用户要求必须是域成员，并且通常处于练级状态以颁发证书或证书策略。

有很多用户都纳闷了？都配置了Directory（AD，活一个是子域，一个都符合要求，为什不能安装，A1上就可首先来简单了解一下CA CA 和独立的操作文档，在A1上布置基本的企业CA 很简单，但到了具体的工作环境，问题出现了，如下所示。

证书CA 服务的安装当分别在服务器A2和图1 域树结构图企业1.企AD，即计算机在活动目录中才可以。

2.当于域中的所用计算机，将会自动添加到受信任的根证书颁发机构的证书存储区域。

3.安Enterprise域的Domain员帐户登录。

独立1.CA2.一独立CA的所有证书申请都被设置为挂起状态，理员受到颁发。

这完全出于安全性的考虑，请者的凭证还没有被独立验证。

从以企业CA更适合大批量的证书的布置，目录服务支持。

最重要的是安装凭证必须是Admins组Admins组的成员帐户登录。

这两个组只有主域控制器下才有（在1.以主域控制器A1上的管理员身份登录到子域控制器A3或A2上。

2.在主域控制器A1上将子域控制器A3或成员服务器A2的管理员加入到Enterprise Admins组和根域的Domain Admins组。

原理：主域控制器A1好比企业总部，子域控制器A3好比企业分部，如果这时企业在客户端打开浏览器，输入CA服务器的URL地址，即可打开证书申请页面。

在访问时需要输入用户名和密码，此时输入任意一个域用户账户即可。

注意，如果客户端无法正常打开CA的证书申请页面，并且出现了以下错误提示信息：应用程序“DEFAULT WEBTrouble Shooting是因为在服务中，还“完成证书申请”，把下载的证书关联到一个好记这样它就会出现在窗口中供用户选一样，但此时已在IIS的服务器证书里可以看到证书。

申请证书我们此时申“Web服务默认的是如果没有更改，则我们下申请的就是“用户”当然不会出现在“SSL窗口选项中了。

[计算机软件及应用]windowsserver2008下配置CA服务器文档

Windows server 2008下构建CA服务器文档一、添加服务器管理器角色首先打开服务管理器，选择开始-》管理工具-》服务管理器。

选择角色，右键添加角色。

打开添加角色向导对话框。

在“选择服务器角色”页中，选中“Active Directory证书服务”。

在“选择角色服务”页中，添加“证书颁发机构”、“证书颁发机构Web注册”，在选择“证书颁发机构Web注册”时，会弹出添加IIS的对话框，单击“添加必需的角色服务”即可自动添加所需要的IIS服务。

在“指定安装类型”页中，选择“独立”，这就是表示要安装“标准CA证书”服务器了。

在“指定CA类型”页，选择“根CA”。

在“设备私钥”页，选择“新建私钥”。

在“为CA配置加密”页，选择默认值。

填写CA的公用名称。

选择默认，点击下一步。

选择默认，点击下一步勾选, 在选择时会出现“是否添加所需的角色服务”对话框，选择“添加必须的角色服务”选项。

之后点击下一步。

点击安装。

安装完成，点击关闭按钮，然后在服务管理器中会看到添加的角色。

重启电脑，使配置生效。

二、配置AD证书服务器为自动颁发证书打开AD证书服务器，点击开始菜单->管理工具->Certification Authority。

打开我们建立的证书颁发机构的属性对话框。

在属性对话框中选择策略模块选项卡，在策略模块选项卡中点击属性按钮，在弹出的属性对话框中选择“如果可以的话，按照证书模板中的设置。

否则将自动颁发证书”选项，点击确定。

之后重启证书颁发机构，是配置生效。

三、配置IIS打开IIS管理器，选择开始菜单->管理工具->Internet 信息服务（IIS）管理器。

3.1配置服务器证书在IIS服务器根目录下，在中间的主页界面中双击服务器证书，打开服务器证书配置页面，在右侧选择创建证书申请，打开申请证书向导。

填写相关的信息后，点击下一步。

选择默认，下一步。

为证书申请指定文件名。

windows建立CA服务器

Windows2003 server 建立CA服务器1．安装并开启IIS服务，开启支持ASP2．安装CA服务开始--〉设置--〉控制面板--〉添加/删除程序--〉添加/删除Windows组件--〉选中证书服务选择合适的CA类型，我们选择独立的根CA，下一步，CA的详细信息，下一步注：CA的公用名称根据自己情况录入。

指定存储配置数据、数据库和日志的位置。

系统会自动安装CA系统。

最后点击“完成”按钮来完成安装。

颁发证书打开计算机文件管理系统，选择管理工具——证书颁发机构选中刚建立的CA，选择属性——扩展——添加 (需要添加图片去介绍,否则表述不清楚。

)http://CA服务器IP/certenroll/CA的公用名称.crl3．访问CA服务通过WEB访问http://CA服务器IP地址/certsrv可以申请一张证书、查看证书请求状态、下载根证书4．颁发一个电子邮件保护证书打开http://CA服务器IP地址/certsrv点击申请证书——电子邮件保护证书，填入申请人信息并提交。

发的证书选中，选择操作——所有任务——颁发打开http://CA服务器IP地址/certsrv查看证书请求状态——电子邮件保护证书——安装此证书，完成。

*安装证书完成后，发送邮件时选签名，对方就会获得你的公钥，回邮件时就可以利用这个公钥进行加密。

5．申请Web浏览器证书并安装根证书打开http://CA服务器IP地址/certsrv点击申请证书——颁发Web浏览器证书，填入申请人信息并提交。

在CA服务器上打开管理工具——证书颁发机构——挂起的申请，找到需颁发的证书选中，选择操作——所有任务——颁发。

打开http://CA服务器IP地址/certsrv查看证书请求状态——Web浏览器证书——安装此证书，完成。

安装根证打开http://CA服务器IP地址/certsrv下载一个CA证书——下载CA证书——选择下载路径和证书名（证书名可起成方便记忆的名称）运行上面生成的根证选择安装证书选中将所有证书证入下列存储，点击浏览，按下图选择后确定，下一步，完成。

windows2021中CA服务器配置方法与步骤

windows2021中CA服务器配置方法与步骤windows2021中ca服务器的安装与配置ca是认证中心的意思：如果你要访问这个网站，你必须通过认证之后，才有资格访问这个网站，平常是不能访问这个网站的，这个网站的安全性能提高很多。

第一部分：加装步骤一、安装证书服装器用一个证书的服务器去颁授证书，然后再采用这个证书。

ca的公用名称：windows2021a二、要在配置的网站上申请证书(草稿）找出我们布局的网站的名称：myweb,右击“属性”-“目录安全性”-“服务器证书”，回去提出申请一个证书。

“新建一个证书”，在国家时“必须挑选cn中国“，下面省市：江苏省，邳州市，最后必须分解成一个申请的文件，一般文件名叫：certreg.txt这样一个文件。

相当于一个申请书。

三、正式宣布向证书机构回去提出申请一个证书（正式宣布提出申请）local本地host是主机：localhost本地主机/certsrv这个cert这证书serversrv服务器certsrv:证书服务器。

1、提出申请一个证书2高级证书提出申请3、选择一个base64这个证书4、把刚才分解成的申请书文件：certrreg.txt文件中的内容全部导入到网页中留存的提出申请侧边中。

5。

提交之后才正式申请开始，等着颁发证书。

四、颁授证书到“证书颁发机构”-选择\挂起的申请“，找到这个申请之后，右击”任务“颁发”这就相当于颁发一个正常的证书了。

2、查阅挂上的证书提出申请的状态，如果存有一个，就浏览这个证书：用base64这个类型的证书，把这个证书留存起至c：\\certnew.cer这样一个崭新证书。

六、使用这个证书来完成ca服务器的配置。

右击“这个网站的名字myweb\选“属性”“目录安全性”中“服务器证书”“处理一个新的证书”，把刚才下载到c：\\certnew.cer这样一个证书用上就可以了。

七、采用ssl(安全地下通道）功能去出访网页方法是：右击“myweb\这个网站，选择“属性”“目录安全性”在“安全通信中的编辑”中，选择“要求安全通道”和”要求客户端的证书“。

windows下ca证书的申请流程(一)

windows下ca证书的申请流程(一)Windows下CA证书的申请流程概述在Windows操作系统下进行CA证书申请，需要经过以下几个步骤：1.创建证书申请请求（Certificate Signing Request，简称CSR）2.提交CSR给CA机构进行签发3.下载并安装由CA机构签发的证书以下将详细介绍每一个步骤的具体流程。

创建CSR步骤一：打开证书请求向导在Windows的“开始”菜单中输入“certmgr.msc”打开证书管理器，然后点击左边的“个人”节点，选择“操作”-> “所有任务”-> “高级操作”-> “创建自签名的请求”来打开证书请求向导。

步骤二：填写证书请求信息在证书请求向导中，需要填写以下信息：•通用名称（Common Name，即证书的域名或IP地址）•组织（Organization）•部门（Organizational Unit）•州/省（State/Province）•国家/地区（Country/Region）这些信息将被包含在CSR中，用于CA机构进行签发。

步骤三：保存CSR在填写完证书申请信息后，将CSR保存到本地，以备进行提交。

提交CSR步骤一：选择CA机构选择一个可信的CA机构，并跟据其要求提交所创建的CSR。

步骤二：等待审批在提交CSR后，需要等待CA机构的审批。

一旦通过审批，CA机构将签发证书，通常是以邮件方式进行通知。

下载并安装证书步骤一：下载证书在收到CA机构的证书签发通知后，可以在其网站上下载证书。

步骤二：安装证书从下载得到的.p7b或.cer文件中提取证书，并将其安装到计算机的受信任根证书颁发机构（Trusted Root Certification Authorities）存储区域中。

结论通过以上几个步骤，就可以在Windows操作系统下完成CA证书的申请过程。

申请过程虽然有些繁琐，但是在保证数据传输安全方面是非常重要的。

Windows中的证书服务及应用1PKI和CA概述

由于以后要在Web页面中处理证书CA证书请求、下载证书等，所以，要先安装好IIS并启用ASP，后安装“证书服务”。下面介绍安装证书服务的操作步骤。（1）在Windows Server 2003中在进入“控制面板”，运行“添加或删除程序/添加删除Windows组件”，进入“Windows组件向导”对话框，选中“证书服务”选项。
5.5 证书的审核与管理
证书的审核与管理Windows Server 2003服务器上进行。（1）当有客户机通过网站申请了证书之后，在 Windows Server 2003服务器上，依次单击“开始/ 管理工具/证书颁发机构”菜单，打开“证书颁发机构”控制台窗口。在主窗口中展开树状目录，单击“ 挂起的申请”项，找到刚才申请的证书，然后右键单击该项，选择“所有任务/颁发”。
（3）单击“安装此CA证书链”链接，弹出一个证书指纹安全警告对话框，显示了证书指纹。（4）单击“是”按钮，安装好证书链之后，系统提示“CA证书链已成功安装”。（5）回到地址为“http://证书服务器IP地址 /certsrv/default.asp”的证书服务欢迎页面。
（6）单击“申请一个证书”，打开“申请一个证书”页面。（7）单击“高级证书申请”，打开“高级证书申请”页面。
（1）在Windows XP客户端的IE浏览器的地址栏中，再次输入“http://证书服务器IP地址 /certsrv/default.asp”访问证书注册页面。（2）单击“查看挂起的证书申请的状态”链接，打开“查看挂起的证书申请的状态”页面。
（3）单击要查看的证书申请，如“客户端身份验证证书”，可看到“证书已颁发”页面。（4）单击“安装此证书”链接，打开“证书已安装”页面，提示新证书已经成功安装。

windows server 2019 安装ca证书格式

windows server 2019 安装ca证书格式Windows Server 2019 安装CA 证书的格式在Windows Server 2019 上安装CA 证书是一项重要的任务，因为CA 证书用于确保对计算机、网络和互联网资源的身份验证和数据通信的安全性。

CA 证书是一种数字证书，由证书颁发机构（CA）签发和管理。

本文将一步一步回答关于Windows Server 2019 上安装CA 证书格式的问题，以帮助您正确安装和配置CA 证书。

第一步：了解证书格式在安装CA 证书之前，我们需要了解一些常见的证书格式。

以下是几种常见的证书格式：1. X.509 ：这是一种最常见的证书格式，常用于Web 服务器和电子邮件服务器证书。

2. PKCS#12：这是一种通用的证书格式，可以包含公钥证书和私钥（私钥加密）。

3. PFX/PKCS#12：这是一种Microsoft 独有的证书格式，通常用于包含公钥证书和私钥（如SSL 证书）。

4. PEM：这是一种基于文本的证书格式，常见于Linux 系统和一些网络设备。

了解不同的证书格式对于选择正确的安装格式至关重要。

在Windows Server 2019 上安装CA 证书，我们将重点讨论PKCS#12/PFX 格式。

第二步：生成CA 证书在安装CA 证书之前，您需要生成CA 证书。

要执行此操作，您可以使用Microsoft 提供的证书服务（Certificate Services）角色或第三方证书颁发机构（CA）。

要使用Microsoft 证书服务生成CA 证书，请执行以下步骤：1. 打开Server Manager 控制台，然后选择"Add Roles and Features"。

2. 在"Select Installation Type" 屏幕上，选择"Role-based or feature-based installation"，然后单击"Next"。

WindowsCA_证书服务器配置

WindowsCA_证书服务器配置Windows CA 证书服务器配置一、介绍Windows CA 证书服务器是用于创建和管理数字证书的工具。

本文将指导您如何配置 Windows CA 证书服务器以确保安全的证书管理和分发。

二、系统要求在开始配置 Windows CA 证书服务器之前，请确保系统满足以下要求：1、Windows Server 操作系统。

2、硬件资源满足最低配置要求。

3、网络连接稳定。

三、安装 Windows CA 证书服务1、打开“服务器管理器”。

2、在“角色和功能”窗口中，选择“添加角色和功能”。

3、在向导中，选择“角色基于功能或角色的安装”，并“下一步”。

4、选择要安装 Windows CA 证书服务的服务器，“下一步”。

5、在“选择服务器角色”窗口中，选中“Active Directory 统一访问角色”，“下一步”。

6、在“选择角色服务”窗口中，选中“证书授权服务”，“下一步”。

7、在“确认安装选择”窗口中，“安装”。

8、安装完成后，“关闭”。

四、配置 Windows CA 证书服务器1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“证书授权站点”。

3、在右侧窗口中，“配置证书授权站点”。

4、在向导中，选择“企业证书授权站点”，“下一步”。

5、选择要使用的证书数据库类型，“下一步”。

6、配置站点设置，包括站点名称、默认访问 URL 等，“下一步”。

7、配置证书颁发策略，设置证书的颁发方式和条件，“下一步”。

8、配置证书申请策略，设置证书的申请方式和条件，“下一步”。

9、完成配置后，“完成”。

五、证书管理1、打开“证书授权管理控制台”。

2、在左侧导航栏中，选择“已颁发的证书”。

3、在右侧窗口中，可以查看和管理已颁发的证书。

六、证书分发1、打开“证书授权控制台”。

2、在左侧导航栏中，选择“颁发策略”。

3、在右侧窗口中，可配置证书颁发的策略。

4、在客户端申请证书时，其请求将被验证，并根据颁发策略进行处理。

WindowsCA_证书服务器配置

12
CA的职责
CA中心的证书审批业务部门则负责对证书申请者进行资格审查，并决定是否同意给该申请者发放证书，并承担因审核错误引起的、为不满足资格的证书申请者发放证书所引起的一切后果，因此，它应是能够承担这些责任的机构担任；证书操作部门（Certificate Processor，简称CP）负责为已授权的申请者制作、发放和管理证书，并承担因操作运营错误所产生的一切后果，包括失密和为没有授权者发放证书等，它可以由审核业务部门自己担任，也可委托给第三方担任。

证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名
18
CA中心的作用

确定客户密钥生存周期，实施密钥吊销和更新管理

每一张客户公钥证书都会有有效期，密钥对生命周期的长短由签发证书的CA中心来确定。各CA系统的证书有效期限有所不同，一般大约为2～3年。
19
CA中心的作用

密钥更新不外为以下两种情况：密钥对到期、密钥泄露后需要启用新的密钥对（证书吊销）。密钥对到期时，客户一般事先非常清楚，可以采用重新申请的方式实施更新。
16
CA中心的作用来自自身密钥的产生、存储、备份/恢复、归档和销毁

从根CA开始到直接给客户发放证书的各层次CA，都有其自身的密钥对。CA中心的密钥对一般由硬件加密服务器在机器内直接产生，并存储于加密硬件内，或以一定的加密形式存放于密钥数据库内。加密备份于IC卡或其他存储介质中，并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标准，彻底清除原有的密钥痕迹。需要强调的是，根CA密钥的安全性至关重要，它的泄露意味着整个公钥信任体系的崩溃，所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。

利用Windows构建CA中心

利用Windows构建CA中心证书服务的一个单独组件是证书颁发机构的web注册页。

这些网页是在安装证书颁发机构时默认安装的，它允许证书请求者使用web浏览器提出证书请求。

此外，证书颁发机构网页可以安装在未安装证书颁发机构的windows2000服务器上，在这种情况下，网页用于向不希望直接访问证书颁发机构的用户服务。

如果选择为组织创建定制网页访问CA，则windows2000提供的网页可作为示例。

现在我们以安装独立根证书为例，安装其它类型的相类似，只是选择其它证书的类型即可。

要注意的是企业根CA和企业从属CA需要activedirectory。

1、安装独立的根证书颁发机构１以管理员身份登录到系统。

或者，如果您装有ActiveDirectory，则以域管理员身份登录到系统。

２单击「开始」，指向「设置」，然后单击「控制面板」。

双击「添加/删除程序」并单击「添加/删除Windows组件」。

３在「Windows组件向导」中，选中「证书服务」复选框。

屏幕上将出现一个对话框，通知您计算机在安装证书服务之后不能更名且不能加入域或从域中删除。

单击「是」，然后单击「下一步」。

４单击「独立根CA」。

５（可选）选中「高级选项」的复选框以指定下面的选项。

完成后请单击「下一步」。

加密服务提供程序(CSP)，默认是MicrosoftBaseCryptographicProvider。

证书服务支持第三方CSP，但您必须参考该CSP供应商的文档，以了解关于证书服务使用其CSP的信息。

现有的密钥，如果选中此选项，则可以使用现有的公钥和私钥对而不用产生新的密钥对。

如果您要重新定位或重新存储以前安装的证书颁发机构(CA)，则该选项很有用。

６填入证书颁发机构的名称和其他必要信息。

在CA设置完成后这些信息都不能改变。

７在「有效持续时间」中，指定根CA的有效持续时间。

有关设置这个值时应考虑的事项，请参阅下面的注释。

单击「下一步」。

８指定证书数据库、证书数据库日志和共享文件夹的存储位置。

Windows技术(二) CA证书认证

继续上篇文章的发表。

现在要做的是使用证书安全验证（三）证书的建立
1）右击新建的站点—属性—目录安全性，点击服务器证书
2）新建证书
3）什么都不用管，就是下一步
4）这个是要选择申请下来的证书要存放的位置，这个可以自己定，放得位置别忘了
5）证书申请完成
6）然后再IE上输入[url]http://127.0.0.1/certsrv/[/url]申请一个证书
7）高级证书申请
8）点使用那个
9）然后到刚才申请证书时添的目录里找到文件certreq.txt 打开。

10）把这个文档的内容复制到保存的申请里
11）证书申请完毕
12）点开始—管理工具—证书颁发机构把挂起的证书颁发了
13）返回到[url]http://127.0.0.1/certsrv/[/url]点察看挂起的证书
14）保存申请的证书
15）下载证书把证书保存到能找到的地方，一会要用
16）右击新建的站点—属性—目录安全性，点击服务器证书处理挂起的证书
17）浏览刚才证书存放的地方这样就可以了
18）右击新建的站点—属性—目录安全性，点击编辑把SSL通道点选上，否则无法实现
19）测试：当再次输入我的网站察看时会出现下面情况。

需要在http的后面加上S
这样就起到了加密作用，防止信息被窃取
终于写完了，虽然技术很简单，但是抓图好麻烦啊。

这个项目是我们三个人共同完成的，其实项目都是由一些小的服务一点点组成的，单个技术能实现，可综合起来就不一定了，其中有些服务会相互冲突，端口被占用等问题，所以说还是
真正动手做一下，解决一次就好了。

服务最好还是单独放在各自单独的机器里比较好。

win11系统 ca 证书路径

win11系统 ca 证书路径
Windows 11系统中，CA证书的路径通常是存储在Windows证书存储中。

你可以通过以下步骤找到CA证书的路径：
1. 打开“运行”对话框，方法是同时按下Windows键和R键。

2. 在运行对话框中输入“certmgr.msc”，然后点击“确定”按钮。

3. 这将打开Windows证书管理器。

在左侧面板中，你会看到“受信任的根证书颁发机构”文件夹，CA证书通常存储在这里。

4. 点击“受信任的根证书颁发机构”文件夹，然后在右侧面板中你会看到安装在系统上的所有CA证书的列表，你可以在这里找到你需要的CA证书。

另外，在Windows 11系统中，你也可以通过控制面板来查找CA证书的路径：
1. 打开控制面板，方法是点击开始菜单，然后在搜索栏中输入
“控制面板”，并打开它。

2. 在控制面板中，选择“网络和Internet”。

3. 然后选择“Internet选项”，接着点击“内容”选项卡。

4. 在“证书”部分，你可以点击“证书”按钮来查看系统中安
装的所有证书，包括CA证书。

通过以上方法，你可以找到Windows 11系统中CA证书的路径。

希望这些信息能够帮助到你。

windows环境下独立根ca的安装和使用实验原理

windows环境下独立根ca的安装和使用实验原理在Windows环境下安装和使用独立根CA的实验原理如下：1. 安装独立根CA：- 首先，在Windows服务器上运行“Server Manager”并选择“添加角色和功能”。

- 在安装类型中选择“基于角色或基于功能的安装”。

- 选择要安装根CA的服务器并选择“下一步”。

- 在“功能”窗口中，选择“证书服务”并点击“下一步”。

- 在“证书服务”窗口中，选择“认证机构的Web注册界面”和“证书框架”。

- 完成安装过程，等待安装完成。

2. 配置独立根CA：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“配置CA”。

- 在“设置CA角色”窗口中选择“独立根CA”并点击“下一步”。

- 配置CA名称和保存路径，并点击“下一步”。

- 设置CA的公共密钥长度并点击“下一步”。

- 选择“创建根凭据并指定名称”并输入凭据名称。

- 配置完成后，点击“下一步”并等待配置完成。

3. 使用独立根CA颁发证书：- 打开“Server Manager”并选择“工具”->“证书服务”->“证书颁发机构”。

- 右键点击“证书颁发机构”并选择“全部任务”->“请求新证书”。

- 在“证书颁发机构策略”窗口中选择“Web服务器”和“合规性”选项。

- 输入要安装的证书请求文件的位置并点击“下一步”。

- 在“证书颁发机构证书安装向导”中，点击“下一步”直到完成安装。

- 颁发证书后，可以在“Server Manager”中查看已颁发的证书。

原理：通过安装和配置独立根CA，可以在Windows环境中建立一个独立的证书颁发机构。

独立根CA可以用于颁发和管理数字证书，以进行身份验证和加密通信。

安装和配置后，可以通过Web界面或其他管理工具颁发证书并在系统中使用。

这样，用户就可以在Windows环境中建立一个自己的独立证书颁发机构，以满足特定安全需求。

WindowsCA_证书服务器配置

WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA（Certificate Authority）是一种权威的证书颁发机构，负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。

数字证书是一种用于验证实体身份的电子文档，可用于确保通信的安全性和完整性。

本文将详细介绍Windows CA证书服务器的配置方法，帮助您完成证书颁发的整个流程。

二、配置步骤1、安装证书服务在Windows服务器上安装证书服务，可以打开“服务器管理器”，然后从“角色”页面选择“添加角色”。

在“角色”对话框中，选择“证书”，然后按照向导完成安装。

2、创建根CA在安装完证书服务后，需要创建一个根CA。

在“服务器管理器”中，打开“证书”并选择“根CA”。

在“根CA”对话框中，输入CA的名称和其他相关信息，然后按照向导完成创建。

3、配置颁发机构策略在创建完根CA后，需要配置颁发机构策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“策略”选项卡，然后根据需要进行配置。

例如，可以设置证书的有效期、设置证书的主题和其他相关信息等。

4、配置申请策略在配置完颁发机构策略后，需要配置申请策略。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请”选项卡，然后根据需要进行配置。

例如，可以设置申请者的身份验证方法和证书模板等。

5、接受申请当有用户或设备需要申请数字证书时，需要在证书服务器上接受申请。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“申请队列”选项卡，然后双击需要处理的申请。

在“处理申请”对话框中，选择处理方式（例如自动批准或手动批准），然后按照向导完成处理。

6、颁发证书在处理完申请后，需要颁发数字证书。

在“服务器管理器”中，打开“证书”并选择“颁发机构”。

在“颁发机构”对话框中，选择“已颁发的证书”选项卡，然后双击需要颁发的证书。

CA证书在Vista、Win7系统使用说明

Vista、Win7系统使用说明如果您使用的电脑的操作系统为Windows Vista或者Windows 7.0版本，请按照以下说明执行。

由于Windows Vista和Windows 7.0存在使用者帐户控制(UAC：User Account Control)的限制，会导致电子签章驱动程序无法正常运行，为了保证您可以正常的使用电子签章，请关闭用户帐户控制选项一、Windows Vista系统下关闭方法第一步：点击Windows开始菜单，“开始”->“运行”，输入msconfig，点击“确定”，分别弹出如下窗口：第二步：选择“工具”，找到“禁用UAC”一行并选中，然后点击“启动”按钮，如果禁用成功，会弹出如下窗口：第三步：重新启动计算机。

二、Windows 7.0系统下关闭方法第一步：点击Windows开始菜单，“开始”->“运行”，输入msconfig，点击“确定”，分别弹出如下窗口：第二步：选择“工具”，找到“更改UAC设置”一行并选中，点击“启动”按钮，弹出如下窗口：第三步：将上图中的按钮拉到最下面，即从不通知。

点击“确定”，这样就关闭了UAC。

第四步：重新启动计算机。

三、山东CA电子签章驱动程序的安装注意：进行以下安装时请不要将电子签章与电脑相连接。

将电子签章驱动光盘放入电脑光驱后稍等片刻，会弹出如下界面：点击“下一步”，弹出如下界面：点击“安装”程序自动安装中：点击“完成”，电子签章驱动安装结束。

四、报税页面提示及浏览器设置将电子签章插入电脑USB接口后，登陆网上报税平台，输入税号及密码后点击登陆，在输入CA密码时系统会在地址栏下方弹出黄色提示条，如下图所示：单击黄色提示条，点击“已阻止安装”-“为此计算机上的所有用户安装此加载项”，如下图所示：点击之后系统弹出如下提示，点击“重试”。

如上述操作仍然无法正常进入报表，则需要修改浏览器设置，由于Vista系统或Win7系统默认的是IE7、IE8高版本浏览器，此浏览器会导致电子签章无法正常显示，为保证您可以正常的使用电子签章，请按照以下操作更改浏览器设置打开浏览器后在页面上方点击“工具”-“Internet选项”，如下图所示：用鼠标选中“可信站点”后，点击“站点（S）”，如下图所示在“将该网站添加到区域“的下方空格中输入报税网址.小规模纳税人输入：http://60.208.91.37:7001;一般纳税人输入：http://60.208.91.39:7001。

Windows2000 PKI技术CA证书服务搭建

Windows PKI技术CA证书服务搭建
WEB服务器客户端
DNS服务器
CA证书服务器
1、证书服务器搭建
在“控制面板”——“添加删除程序”——“添加删除windows组件”——“证书服务”。

选择“独立根CA”。

CA标识信息中只要添加CA名称即可。

2、配置WEB服务器和DNS域名解析
3、配置客户端，DNS指向WEB服务器
4、申请WEB服务器证书
在证书服务器中，使用浏览器输入证书申请服务的网址IP/certsrv
将刚才生成的certreq.txt文件内容复制进去，点击“提交”。

颁发证书：点“开始”——“程序”——“管理工具”——“证书颁发机构”。

选择证书并“颁发”。

下载挂起证书
完成证书导入到WEB服务器中
将刚才下载的证书导入进去
查看证书
5、设置SSL访问，要求客户端身份验证
6、客户端申请WEB浏览证书
“颁发”证书
7、在服务器端，将客户端证书导出并导入至WEB服务器的证书——个人目录中
将ID为3的证书复制到文件
在客户端浏览器安装证书
在证书服务器双击，安装证书
8、客户端进行https://访问。

win2003搭建CA服务器

在Windows server 2003 Enterprise Edition安装CA证书服务，具体步骤如下：1、首先将Windows server 2003升级为DC2、安装IIS服务a、打开系统的“控制面板”点击“添加或删除程序”b、点击“添加/删除Windows组件”c、钩选“应用程序服务器”后点击下面“详细信息”d、钩选“Internet信息服务”及“启用网络COM+访问”并点击确定3、安装CA服务a、同样进入“添加/删除Windows组件”下选择“证书服务”点击“下一步”4、在DC上运行MMC，添加证书模板的管理单元。

5、选择“证书颁发机构”选择“本地计算机”并点击“添加”6、同时选择“证书模板”并点击“添加”及“确定”7、点击“证书模板”找到“计算机”模板，右击选择“复制模板”8、在“常规”中设置名称，这里为“123”，点击“使用者名称”并钩选“在请求中提供”9、点击“证书颁发机构”选择“证书模板”点击“新建”点击“要颁发的证书模板”10、选中“123”并点击“确定”11、选择“证书颁发机构”点击“停止服务”按钮后，再点击“启动”按钮12、在“命令提示符”下运行“iisreset”服务器重新启动后就可以在客户端申请证书。

13、客户端申请证书打开客户端IE浏览器输入CA服务器的IP地址：htt://11.147.16.199/certsrv（根据实况输入）,选择“申请一个证书”15、点击“高级证书申请”15、点击“高级证书申请”16、点击“创建并向此CA提交一个申请”17、选择刚才颁发的“123”证书并填写详细的信息点击“提交”18、点击“安装此证书”到此CA服务器已经搭建完毕。

windows CA的几点记录小结

windows CA的几点记录小结1. Windows CA证书服务器安装完了? 如何得知当初安装时选择的类型?是独立根呢? 还是企业根?答: certutil -cainfo执行即可得知.2.企业根类型的证书颁发机构,默认申请的证书时效为多长? 如何变更?答: 企业根类型,默认为2年 (注:相对windows 2008是两年,windows 2003是一年的)对于企业CA，由于证书模板也定义了基于该模板的证书的有效期，那么证书的有效期最终为下列时间中的最短者：a. 注册表中定义的有效期b. 证书模板定义的有效期c. CA 根证书的终止日期（如果CA根证书过期了，那么所有的由该CA颁发的证书也自动过期）所有如果要想把企业CA颁发的证书有效期变根，除了修改上面的注册表键值，必须也同时更改证书模板的有效期。

但是请注意只有version 2 的证书模板才能被修改，version 1 的证书模板是固定的。

如果企业CA是安装在Windows Server 2008 Standard 版本，CA只能颁发基于version 1 模板的证书, 所以是没办法改的。

只有企业CA安装在Windows Server 2008 Enterprise版本，我们才能颁发基于version 2 模板的证书。

复制出来的证书模板都是version 2的模板，可以更改其有效期。

默认证书模板的有效期可以这样查看：a. 打开证书颁发机构MMCb. 右键点击证书模板然后选择管理c. 可以双击每个模板来查看其有效期可以看到对于默认的version 1的模板，属性都是灰色的不能更改。

只有复制出version 2的模板，有效期才能更改。

但只有企业CA安装在Windows Server 2008 Enterprise版本上才能颁发基于version 2的模板的证书。

3.独立根类型的证书颁发机构,默认申请的证书时效为多长? 如何变更?答: 1年对于独立CA，因为不存在证书模板，证书有效期只由下面的注册表键值决定：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configur ation\<CAName>ValidityPeriod = YearsValidityPeriodUnits = 4可以参考:/kb/254632/zh-cn4.证书的续订:续订CA跟证书步骤如下：a. 从管理工具打开Certification Authority (证书颁发机构)b. 右击计算机名称–》所有任务–》续订CA证书续订根证书颁发机构/zh-cn/library/cc780374(WS.10).aspx5.证书服务器的备份如何将证书颁发机构移动到其他服务器/kb/298138/zh-cn我建议将原来的企业根证书服务器相关的信息清理掉。

windows2008+CA教程

Windows Server 2008 CA认证实验Windows Server 2008支持两种证书服务器，分别是应用于企业内部的企业证书服务器和用于企业或Internet的独立证书服务器。

其中，企业证书服务器应用于域环境，需要AD的支持，用户可以直接向证书服务器申请并安装证书；而独立根证书服务器应用于非域环境。

Win2008只有企业版和数据中心版支持web注册功能，标准版和web版不支持。

本实验用3台win2008做一个独立根CA实验。

如果电脑配置差，Client可以用xp代替。

实验拓扑：准备工作：这里域名为，IP地址如上图所示。

此实验在VM7中进行，三台电脑网卡全部桥接；当然也可以全部建在一个分组内做实验。

实验心得：我做实验的电脑内存是3G，系统自动给win2008分配的内存是1G，物理机我用的是XP，导致很卡，所以要手动给虚拟机分配内存900M，这样3台win2008消耗2.7G内存，留下300多M给XP。

下面对客户机IE浏览器做设置：打开Internet选项，调整安全级别：➢将对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本（不安全）；必须启用➢允许运行以前未使用的ActiveX控件而不提示；必须启用➢下载未签名的ActiveX控件（不安全）；启用➢下载已签名的ActiveX控件（不安全）；启用➢使用仿冒网站筛选；禁用➢没有证书或只有一个证书时不提示进行客户端证书选择；如果不想有证书选择提示窗口，可以把它启用。

实验心得：平时做实验，我们可以把安全性降到最低，以免干扰实验。

前2个必须启用，否则在申请证书时会跳出对如下对话框：下面安装第一台CA服务器：首先打开“服务器管理器”→添加角色，选中“Acitve Directory证书服务”。

如下图所示单击“下一步”，选中“证书颁发机构”和“证书颁发机构web注册”。

后者主要是通过web界面来进行证书的相关操作。

如下图所示。

单击“下一步”，如下图所示，由于不在AD中，我们选“独立”。