13.2.1 安装证书服务
? 步骤十、由于要同时安装“证书颁发机构Web注册”功能，因 此单击“下一步”按钮时，显示“Web服务器（IIS）”对话 框，显示IIS的简介信息，单击“下一步”按钮，出现Web服 务的“选择角色服务”对话框中，选择为Web服务器（IIS） 安装的角色服务。此处保持默认设置即可，单击“下一步”继 续。
21世纪高等院校规划教材
计算机网络操作系统 （第二版）
——Windows Server 2008 配置与管理
第13章 证书服务配置与管理
本章学习目标
? Windows Server 2008提供了公钥证书管理 工具，使用该工具可以方便的产生、颁发和注 销数字证书，架构企业自己的认证中心。本章 介绍证书服务器的配置与管理，包括以下主要 内容：
? 步骤三、出现“安装类型”对话框，为证书服务选 择安装类型，可以选择“企业 CA”或者“独立 CA”。 若服务器不是域控制器，并且未加入域，则企业单 选按钮为不可用状态。单击“下一步”继续。
13.2.1 安装证书服务
? 步骤四、在 “CA类型”对话框中，由于当前是第一 次安装，并且是惟一的证书颁发机构，因此点选“ 根CA”选项，单击“下一步”继续。
? 步骤七、在如图 13-9所示“配置 CA名称”对话框中 输入该CA的公用名称，本例中设置为 Henan University of Technology ，即CA的公用名称 CN （Common Name ）为Henan University of Technology 。用户可以任意设置本企业的标识名 称，单击“下一步”继续。
? 步骤五、若要生成证书并颁发给客户端， CA必须有 一个私钥。在“设置私钥”对话框中可以指定要新 建私钥还是使用现有私钥。若是第一次安装 CA，且 当前没有私钥，可点选“新建私钥”选项；若不是 第一次安装 CA，为确保与先前颁发的证书的连续性 ，可点选“使用现有私钥”按钮，如图 13-7所示。 单击“下一步”继续。
? 使用公钥加密数据（数据加密），只能使用对应的私钥解 密（数据解密）。
? 使用私钥加密数据 （称数字签名）， 只能使用对应公钥 解密（签名验证） 。
13.1 证书服务的基本概念
? 广泛应用的证书格式基于国际电 信联盟电信标准部门（ ITU-T） 建议的X.509v3 标准。
? X.509 证书包括公钥和有关证书 授予的人员或实体的信息、有关 证书的有效期、用途等信息，以 及有关颁发证书的 CA的信息。
? 实体的主题（或主体， Subject ）标示证书的持有者，证书的颁 发者（Issuer ）和签名者是 CA。
版本号 序列号
CA 私钥
签名和哈希算法
颁发者Ｘ .500惟一识别名
有效期 主体Ｘ .500惟一识别名
散 签名生成 列
主体公钥信息
颁发者惟一标识符 (可选)
主体惟一标识符 (可选)
扩展项
CA签名
13.1 证书服务的基本概念
? 证书只在证书颁发者对该证书指定的时间段内有效 。每个证书包含“有效期从”和“有效期至”日期 ，这两个日期设置了证书有效期的界限。一旦超过 证书的有效期，证书持有者必须重 Nhomakorabea请求证书。
? 如果因为某种原因，如证书主体私钥泄密、证书主 体身份变更等，必须撤销证书的使用，颁发者可以 吊销证书。每个颁发者（ CA）维护一个证书吊销列 表（CRL）。
13.1 证书服务的基本概念
? IE浏览器，“工具 ”/“Interne选t 项” 菜单，选择“内容” 选项卡，单击“证书 ”按钮。对话框包括 “个人”、“其他人 ”、“中级证书颁发 机构”、“受信任的 根证书颁发机构”等 不同证书存储区域。
目录
13.1 证书服务的基本概念 13.2 安装与配置证书服务 13.3 客户端申请和安装证书
13.2.1 安装证书服务
? 步骤八、在“设置有效期”对话框中，设置 此CA生成的证书的有效期，默认证书的有效 期限为5年，CA仅在有效期内才能颁发有效 的证书。单击“下一步”继续。
? 步骤九、在如图13-10所示对话框中设置证 书数据库以及证书日志的存储路径，使用默 认值即可。单击“下一步”继续。
13.2.1 安装证书服务
? 步骤六、在如图 13-8所示“配置加密”对话框中进 行加密服务提供程序的设置，选择散列算法（建议 选用SHA-1）和密匙长度的设置。根据安全应用的 需要可以选择 512、1024或2048位密钥长度，密 钥长度越高， CA证书的安全性越强，但是会增加完 成签名操作所需要的时间。单击“下一步”继续。
13.2.1 安装证书服务
? 步骤二、在 “Active Directory 证书服务简介”对 话框中，给出了 Windows Server 2008 证书服务 的基本介绍。单击“下一步”按钮，打开“选择角 色服务”对话框，如图 13-5所示。选择为 Active Directory 证书服务安装的角色服务，单击“下一步 ”继续。
? 证书一般由可信的权威第三方CA中心（权威授权机构）颁发 ， CA 对其颁发的证书进行数字签名，以保证所颁发证书的 完整性和可鉴别性。
? CA可以为用户、计算机或服务等各类实体颁发证书。
13.1 证书服务的基本概念
? 公钥证书以公钥密码算法为基础。公钥密码算法基于复杂 数学问题构建公钥和私钥的映射关系。
13.2.1 安装证书服务
? Windows Server 2008操作系统内置了证 书服务角色，安装该角色可以构建自己的CA 中心，适合中小企业构建自己的安全基础设 施PKI应用。
? 步骤一、安装证书服务，单击“开始”/“程 序”/“管理工具”/“服务器管理”，打开“ 服务器管理”窗口，选择“角色”选项，单 击“添加角色”按钮，打开“添加角色”向 导。在如图13-4所示的对话框中，选择 “Active Directory证书服务”复选框，单 击“下一步”继续。
? 证书服务的基本概念 ? 安装与配置证书服务器 ? 客户端证书安装与使用
目录
13.1 证书服务的基本概念 13.2 安装与配置证书服务 13.3 客户端申请和安装证书
13.1 证书服务的基本概念
? 公钥数字证书（又称为公钥证书、数字证书、Certificates ）简称证书，是用于绑定实体身份和公钥信息的经过权威机 构数字签名的声明，以文件的形式存在，证书将公钥与保存 对应私钥的实体绑定在一起。