本分步指南介绍了如何在 Windows 2000 中安装和卸载“公钥证书颁发机构”。
在 Windows 2000 中,“证书颁发机构”(CA) 服务颁发运行公钥结构所需的证书。该 CA 可以是外部的专用 CA,也可以是由某个公司运行的 CA。这些证书使用户能够使用智能卡登录、发送加密邮件、签署文档,等等。
通 常,如果您要向公司内部或 Windows 2000 域中的用户或计算机颁发证书,则应该安装企业 CA。如果您要向组织或公司外部的用户或计算机颁发证书,则应该安装独立 CA。企业 CA 要求申请证书的所有用户在 Active Directory 中都有条目,而独立 CA 无此要求。企业 CA 可以颁发用于登录到 Windows 2000 域的证书,而独立 CA 无法颁发此类证书。您可以同时使用这两类 CA 来满足企业需求。
“证书颁发机构”的设置与安装 开始之前 1. 单击 开始 ,依次指向 程序 、 管理工具 ,然后单击“ Active Directory 用户和计算机 ”。 2. 确保您能够看到和管理 Active Directory。如果没有目录,请按照 Active Directory 和 DNS 指南中的步骤操作。 3. 您的帐户一定要在“Domain Admins”组中。安装“证书颁发机构”的用户必须是管理员。 4. 为了安装“证书服务”Web 注册页,必须安装 Microsoft Internet Information Server (IIS)。 设置 CA 1. 单击 开始 ,指向 设置 ,然后单击 控制面板。 2. 双击 添加/删除程序 。 3. 单击 添加/删除 Windows 组件 。 4. 单击 下一步。 5. 单击 证书服务 复选框,将其选中,然后单击 下一步 。 6. 单击相应的 CA 类型。可用选项右侧显示每个颁发机构的说明。 7. 如果要更改默认密码设置,请单击“ 高级选项 ”复选框,将其选中。只有在您知道的确需要这么做时,才选中此复选框。 8. 单击 下一步 。 9. 如果选中了“ 高级选项 ”复选框,系统将提示您更改“公钥和私钥对”选项。如果未选中“ 高级选项 ”复选框,则继续执行下一步。 10. A 显示证书颁发机构标识信息 窗口。填入相应的站点和组织信息。请注意,CA 信息非常重要,因为要用它来标识所创建的 CA 对象。完成后单击 下一步 。 11. 系统会提示您定义证书数据库的位置、配置信息和“证书吊销列表”(CRL)。企业 CA 始终将其信息(包括 CRL)存储在 Active Directory 中。Microsoft 建议您选中 共享文件夹 复选框。这样就指定了存储 CA 配置信息的文件夹位置。所有 CA 配置信息都应该存储在一个文件夹中。 12. 单击 下一步 。 13. 如果 IIS 处于运行状态,请将其关闭。单击 确定 以停止 IIS。安装 Web 组件之前必须先停止 IIS。如果没有安装 IIS,则继续执行下一步。 14. 安装次级 CA 时,您需要:单击 浏览 ,找到联机 CA,或者,如果您的请求是定向到专用 CA 或无法从网络访问的 CA,则需要单击“ 将申请保存到一个文件 ”。 15. 等待安装完成。 16. 单击 完成 。 验证“证书服务器”安装 要验证安装,您可以使用以下任一方法: • 在命令提示下键入 net start ,确认“证书”服务正在运行。 • 申请证书,方法是单击 开始 ,指向 运行 ,键入 mmc ,单击 确定 ,在 控制台 菜单上单击“ 添加/删除管理单元 ”,添加 证书 管理单元,单击要管理的 我的用户帐户 ,右键单击 个人 文件夹,单击 所有任务 ,然后单击“ 申请新证书 ”。“证书申请向导”应该启动。 • 对于独立 CA,您可以使用 Internet Explorer 5 连接到“http:// 服务器名 /CertSrv”(其中 服务器名 是服务器的名称),以此来申请新证书。 卸载“证书服务器” 1. 单击 开始 ,指向 设置 ,然后单击 控制面板。 2. 双击 添加/删除程序 。 3. 单击 添加/删除 Windows 组件 。 4. 单击 下一步。 5. 单击 证书服务 复选框,将其清除,然后单击 下一步 。 6. 单击 完成 。