概要
本分步指南介绍了如何在 Windows 2000 中安装和卸载“公钥证书颁发机构”。
在 Windows 2000 中,“证书颁发机构”(CA) 服务颁发运行公钥结构所需的证书。该 CA 可以是外部的专用 CA,也可以是由某个公司运行的 CA。这些证书使用户能够使用智能卡登录、发送加密邮件、签署文档,等等。
通常,如果您要向公司内部或 Windows 2000 域中的用户或计算机颁发证书,则应该安装企业 CA。如果您要向组织或公司外部的用户或计算机颁发证书,则应该安装独立 CA。企业 CA 要求申请证书的所有用户在 Active Directory 中都有条目,而独立 CA 无此要求。企业 CA 可以颁发用于登录到 Windows 2000 域的证书,而独立 CA 无法颁发此类证书。您可以同时使用这两类 CA 来满足企业需求。
“证书颁发机构”的设置与安装
开始之前
1.
单击开始,依次指向程序、管理工具,然后单击“Active Directory 用户和计算机”。
2.
确保您能够看到和管理 Active Directory。如果没有目录,请按照 Active Directory 和 DNS 指南中的步骤操作。
3.
您的帐户一定要在“Domain Admins”组中。安装“证书颁发机构”的用户必须是管理员。
4.
为了安装“证书服务”Web 注册页,必须安装 Microsoft Internet Information Server (IIS)。
设置 CA
1.
单击开始,指向设置,然后单击控制面板。
2.
双击添加/删除程序。
3.
单击添加/删除 Windows 组件。
4.
单击下一步。
5.
单击证书服务 复选框,将其选中,然后单击下一步。
6.
单击相应的 CA 类型。可用选项右侧显示每个颁发机构的说明。
7.
如果要更改默认密码设置,请单击“高级选项”复选框,将其选中。只有在您知道的确需要这么做时,才选中此复选框。
8.
单击下一步。
9.
如果选中了“高级选项”复选框,系统将提示您更改“公钥和私钥对”选项。如果未选中“高级选项”复选框,则继续执行下一步。
10.
A显示证书颁发机构标识信息 窗口。填入相应的站点和组织信息。请注意,CA 信息非常重要,因为要用它来标识所创建的 CA 对象。完成后单击下一步。
11.
系统会提示您定义证书数据库的位置、配置信息和“证书吊销列表”(CRL)。企业 CA 始终将其信息(包括 CRL)存储在 Active Directory 中。Microsoft 建议您选中共享文件夹 复选框。这样就指定了存储 CA 配置信息的文件夹位置。所有 CA 配置信息都应该存储在一个文件夹中。
12.
单击下一步。
13.
如果 IIS 处于运行状态,请将其关闭。单击确定 以停止 IIS。安装 Web 组件之前必须先停止 IIS。如果没有安装 IIS,则继续执行下一步。
14.
安装次级 CA 时,您需要:单击浏览 ,找到联机 CA,或者,如果您的请求是定向到专用 CA 或无法从网络访问的 CA,则需要单击“将申请保存到一个文件”。
15.
等待安装完成。
16.
单击完成。
验证“证书服务器”安装要验证安装,您可以使用以下任一方法:
•
在命令提示下键入net start ,确认“证书”服务正在运行。
•
申请证书,方法是单击开始,指向运行,键入 mmc,单击确定,在控制台 菜单上单击“添加/删除管理单元”,添加证书 管理单元,单击要管理的我的用户帐户 ,右键单击个人 文件夹,单击所有任务,然后单击“申请新证书”。“证书申请向导”应该启动。
•
对于独立 CA,您可以使用 Internet Explorer 5 连接到“http://服务器名/CertSrv”(其中服务器名 是服务器的名称),以此来申请新证书。
卸载“证书服务器”
1.
单击开始,指向设置,然后单击控制面板。
2.
双击添加/删除程序。
3.
单击添加/删除 Windows 组件。
4.
单击下一步。
5.
单击证书服务 复选框,将其清除,然后单击下一步。
6.
单击完成。
