Windowsserver2003CA详细版.doc

下面来部署CA 　　一台是独立根CA,一台是独立从属CA 　　安装独立根CA 　　选中应用程序服务器和证书服务. 　　由于证书服务WEB注册支持需要依赖于IIS,所以要选中应用程序服务. 　　点详细看一看 　　点确定 　　这里选独立根CA并打上勾. 　　单击导入,可以使用现有的密钥对,就不用生成新的密钥. 　　密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位. 　　如果不选允许此CSP与桌面交互系统服务就无法与当前用户的桌面进行交互. 　　输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限. 　　共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA但不使用AD时才有用. 　　下面便开始安装了. 　　安装到一定的时候会出现下面对话框 　　默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是. 　　下面来安装独立从属CA 　　同样选择应用程序服务器和证书服务 　　这里选择独立从属CA并勾上. 　　可以看到这里密钥长度默认是1024位 　　输入公用名称 　　有效期限取决于父CA 　　这里默认建立一个共享文件夹 如果父CA在线可用,则选中将申请直接发送给网络上的CA.在文本框中输入父CA的计算机名,和父CA的名称. 　　如果父CA不在线可用,则选中将申请保存到一个文件,并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请. 　　下面便开始安装了 　　安装时会出现上面对话框,确定便是了. 　　选是 　　点完成 　　下面来验证安装 　　可以看到根CA有上面这些文件便安装成功 　　也可以看服务 　　有图中的服务便安装成功 　　下面来看申请和颁发证书 　　现在来登录从属CA,打开开始-所有程序-INTERNET EXPLORER.打开IE 　　在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书 　　这里选高级证书申请 　　选下面那条 　　点浏览要插入的文件 　　这个是在建立从属CA时所创建的 　　然后点读取 　　最后点提交 　　这样便提交了一个证书申请 　　然后在根CA上颁发证书 　　可以看到挂起刚才申请的证书.这里有两个,一个是管理员用户,一个是默认的计算机名. 　　点证书右键,点颁发 　　这样便在颁发证书下面 　　又击证书便可以看到下面 　　这里可以看到证书的一些信息 　　下面来看获取并安装证书 　　这里在从属CA上,同样打开申请页面,点查看挂起的证书,便可以看到保存的申请证书.点保存 　　单击下载证书链,证书链中包含了当前证书和当前证书上级所有的CA证书,包括根CA. 　　然后单击开始---管理工具---证书颁发机构. 　　安装CA证书.然后启动服务. ? 　　下一步 　　下一步 　　这里已先安装好了 　　安装成功之后,从属CA部署完成. 配置和管理CA 　　这里可以启动和停止服务.方法二可以在服务里面关掉相应的服务,方法三可以使用NET START和NET STOP命令. 　　点击备份 　　下一步 　　两个都打上勾,选择备份的位置 　　下一步便可设置访问私钥和CA证书的密码,下一步便开始备份. 　　下面看下吊销证书 　　如果需要使作为信任安全凭据的证书在自然过期之前便作废,就需要吊销证书. 　　点吊销证书 　　可选择吊销的理由.有多种 　　点击吊销证书的属性.这里是设置CRL发布间隔和是否发布增量CRL和其发布间隔. 　下面看下手工发布CRL和增量CRL 　　点发布 　　点新的CRL 　　点确定 　　下面来看吊销列表 　　常规选项可以看到一些基本的信息 　　下面来看获得CA所发布的必威体育精装版CRL 　　这是在客户端,点击下一个CA证书,证书或CRL. 　　如图,下载必威体育精装版的基CRL 　　可看到选中的就是刚才下载的. 　　然后点右键进行安装便是了. 　　下面来看指定证书的分发点 　　CRL分发点作为证书扩展项存于CA颁发的证书之中,心指定实体检索CRL的位置,CRL分发点采用URL的形式,实体通过该URL即可连接到CRL分发点来检索CRL,可以用于CRL分发点URL包括HTTP,FTP,LDAP或文件地址. 　　点ROOT-CA的属性.点添加. 　　这里输入位置. 　　由CA所颁发的每一个证书都具有有效期限.CA自身也有证书,根CA的证书由其自身颁发.CA的有效期会影响其所颁发证书的有效期,通常,CA会强行实施一条规则,即CA永远不会颁发超过自己证书的到期时间后仍有效证书因此,当CA的证书达到它的有效期时,它颁发的所有证书也将到期.这样,如果CA因为某种目的没有续订并且CA的有效期时已过,则PKI可以保证当前到期的CA发出的所有证书不于用作有效的安全凭据,即不会存在仍处于有效期内但是其CA已不再有效的被遗