如何搭建微软第三方CA环境(2003系统)

1、Internet信(IIS)b理器ln|x|安装IIS1、打开：控制面板-添加或删除程序-添加/删除windows组件-应用程序服务器-Internet信息服务（IIS）：2、勾上IIS，点击确定，并点击下一步进行IIS的安装:3、开启IIS的ASP服务:打文件操作查看窗口帮助自舸囹圈罔住陲1|星|萨“Internet信息服务-JZXL-TEST0$地计算机）+I-J应用程序池+卜网站：JWeb服务扩展leb服务扩展允许属性InternetWebDAV在服务器端的包含文件任务添加一个新的壯匕服务扩展对特定的应用程序允许所有昭服务n禁止所有壯b服务扩展打开帮助1J1二、安装AD1、开始运行里输入

2、dcpromo2、点击下一步安装AD,直点击下一步直到完成（其中有些配置看图,DNS名称、域名、数据库等文件保存路径自己填）：如果提示这个就选择以后通过手动配置）三、安装证书服务并设置证书颁发机构1、开始-设置-控制面板-添加/删除程序-添加/删除Windows组件-选中证书服务并点击下一步进行安装：2、选择企业根CA：3、填写名称，点击下一步直到完成：4、打开：管理工具-证书颁发机构。生成证书模版(1).现在证书颁发机构页面：右键点击证书模版一一管理一一右键选择“web服务器证书模版”一复制证书模版生成的就是新的web服务器证书模版（假设名为“tt”）一在该模版的“处理请求中”选择密钥可导出

3、关闭窗口（2）.返回证书颁发机构页面：右键点击证书模版一一新建-要颁发的证书模版一选择刚才生成的web服务器证书模版（tt）.通过web页面申请证书的时候就能看到证书模版（tt）四、创建AD账号（为后续生成用户证书时可以使用此账号）1、打开：官理工具：ActiveDirectory用户和计算机，右键点击user新建一个AD域账号:ActiveDirectory用尸和计算机-|n|x|E文件1）操作查看（V）窗口址）帮助01）-IfllxlQ+|自舸|詰釦X窗窗釦说回|遗澎？b寸廳迦Vsers违个对象IB申ActiveDirectory用户和计算机+保存的查询日“111E：arLFA-rlHu订

4、tinF1-IniComputerEE11IIomainControll已匕三Fl-PIIForeignSecurityPrincipaL-Users12d名称I类型I描述豐Admini乩r.CertFubl.CERTSVC_II.fDnsAdjiiinsIlnsUpdate.DomainAd.DomainCo.DomainCo.IlorTiainGu.DomainUsersEnterpris.GroupFol.GuestIISJFGCIUSR_EXL-.gIWAM_ZXL-.拓RAS:aiulI.SchemaAd.用户安全组-本安全组-本安全组-本安全组-全局安全组-全局安全组-全局安全组-

5、全局安全组-全局安全组-全局安全组-全局安全组-全局用.户安全组-本用.户用.户安全组-本安全组-全局管理计筲机旳的內晋此组卜新建对象-用尸选择密码永不过期）创逹在：/Users密码（）:确认密码（）:厂用户下次登录时须更改密码厂用户不能更改密码I17密玛永不过期地）厂帐户已禁用（io）下一步追）取消五、获取根证书1、从CA中心拿到根证书。首先用域帐号登录2003（如果页面打不开检查IIS，要启动certsrv这个网站）: HYPERLINK http:/localhost/certsrv http:/localhost/certsrv,选择【下载一个CA证书，证书链或CRL】，如图：选择当前

6、显示的证书，DER编码方式，【下载CA证书链】，如图:直接可以得到格式为p7b格式的证书，此证书即为根证书。六、获取用户证书1、用用户电脑打开http:8*certsrv（这里的IP地址就填你服务器的地址），并用第4步中生成的AD域账号登陆：2、申请用户证书：3、此时在你用户的电脑的IE的个人证书里就会有此证书，你可以选择导出（可以导出私钥）：上一步下一歩购)|取消|上一步下一歩购)|取消|常规丨安全I隐私I内容连接丨程序丨高级|证书内客审查程序分级系统可帮助您控制在该计算机上看到的Internet内启用|设置(T)预期目的辿”有3亍人|苴他人|中级砂颇发机构|受信融根砂颇发机构|受信融发行者

7、121|截止日期|好记的名称Tn证韦便用加密连接和标识的证书.清除SSL状态區)证书()IEemk_waiEhengjutextllll固us4陰JwaiLgWlljuiLvpn.EMTJJTflCA-CACFIPSACAlkl004vpn.em.e-chirL：ili2017/11/12013/11/72013/7/172017/5/242017/1.E_tEE_t自动完成设置(I)固方定彪CSGGUA1TGXIGJJIiCA2022/-4/16国探信服test2013/7/6疣源“_源提供可在InternetExplorer和苴他程序中读取的网站更新内容口导入(I).|导出(删除|高级.|证书的预期目的加密文件系统安全电子邮件客户端验证查看迪关闭确定取消应用|2d证书导出向导导击利钥悔可旦选樺将私钥跟讦书一紀异出私钥受密码保护.如果要将私钥跟证书一起导出,您必须在后面一页上键入密码口萼将私钥跟讦书一紀耳出吗？o-逞导用卷赳厂不，不要导出利钥七、导入第五步生成的根证书到设备并