在 Windows Server 2008 R2 中,可以通过添加 “Active Directory 证书服务” 角色来安装 “独立根 CA” 或 “企业根 CA”。
1. 先以 administrator 来登录域。
2. 打开 “服务器管理器” ,单击 “角色” ,再单击右边的 “添加角色” :
3. 在服务器角色选择界面勾选“Active Directory 证书服务”:
4. 在“Active Directory 证书服务简介” 界面中单击“下一步”。
5. 在 AD CS 的 “选择角色服务” 界面里还勾选“证书颁发机构 Web 注册”,这是为了方便用户使用 Web 界面执行一些与证书相关的操作任务。在你勾选该项时,添加角色向导可能会弹出一个对话框,要求你安装所缺失的角色服务和功能,如 IIS Web 服务器:
然后单击“下一步”。
6. 在选择 CA 类型时,保持默认的“企业” ,然后单击“下一步”:
如果此计算机是独立服务器或不是利用域系统管理员登录的话,将无法选择“企业 CA”。
7. 选择“根 CA” ,然后单击“下一步”:
8. 选择 “新建私钥”,然后单击“下一步”:
这个私钥是 CA 的私钥,CA 必须拥有私钥,否则不能发放证书给客户端。如果是重装 CA 的话(之前在该台服务器上已经安装过 CA),那么可以选择使用前一次安装时所创建的私钥。
9. 可以使用默认的私钥创建方法,直接单击“下一步”:
10. 为 CA 配置名称,这里也可以保持默认,然后单击“下一步”:
11. 在“设置有效期”里,默认有效期为 5 年,这个也保持默认,然后单击“下一步”:
12. 在“配置证书数据库”界面中单击下一步,保持默认即可:
13. 在“Web 服务器(IIS)” 界面中单击下一步:
14. 在“选择角色服务”界面中保持默认,直接单击“下一步”。
15. 在“确认安装选择”界面中单击“下一步”
16. 确认选择无误后,直接单击“安装”,结束后单击“关闭” 。
安装完成后,可以通过“开始” ---> “管理工具” ---> “证书颁发机构” 来管理 CA:
企业根 CA 根据“证书模板”来发放证书,它有多个种类,比如将文件加密的证书,保护电子邮件安全的证书以及验证客户端身份的证书:
企业根 CA 需要受到域内计算机的信任,而 Active Directory 域会通过组策略来让域内所有的计算机自动信任企业根 CA,也就是说可以自动将企业根 CA 的证书安装到客户端计算机中。现在我们启动一台域内的客户计算机,查看其是否已经信任了刚才建立的 CA 。在客户机上,打开 IE ---> 工具 ---> Internet 选项 ---> 内容标签 ---> 证书 ---> 受信任的根证书办法机构 :
手动信任企业或独立根 CA
未加入域的计算机并不会自动信任企业根CA。对于独立根CA,不论你是不是域成员计算机,默认都不会信任该CA。对于这些情况,可以执行手动信任企业根CA 或 独立根CA :