如何搭建微软第三方CA环境(系统).docVIP

安装IIS 1、打开：控制面板---添加或删除程序---添加/删除windows组件---应用程序服务器---Internet信息服务（IIS）： 2、勾上IIS，点击确定，并点击下一步进行IIS的安装： 3、开启IIS的ASP服务： 安装AD 开始运行里输入dcpromo 点击下一步安装AD，一直点击下一步直到完成（其中有些配置看图,DNS名称、域名、数据库等文件保存路径自己填）： （如果提示这个就选择以后通过手动配置） 安装证书服务并设置证书颁发机构 1、开始--设置--控制面板--添加/删除程序--添加/删除Windows组件--选中证书服务 选择企业根CA： 填写名称，点击下一步直到完成： 4、打开：管理工具---证书颁发机构。生成证书模版： (1).现在证书颁发机构页面： 右键点击证书模版－－管理－－右键选择“web服务器证书模版”－》复制证书模版－》生成的就是新的web服务器证书模版（假设名为“tt”）－》在该模版的“处理请求中”选择密钥可导出－》关闭窗口 (2).返回证书颁发机构页面： 右键点击证书模版－－新建---要颁发的证书模版－》选择刚才生成的web服务器证书模版（tt） (3).通过web页面申请证书的时候就能看到证书模版（tt） 创建AD账号（为后续生成用户证书时可以使用此账号） 1、打开：管理工具：Active Directory 用户和计算机，右键点击user新建一个AD域账号： （选择密码永不过期） 获取根证书 从CA中心拿到根证书。 首先用域帐号登录2003（如果页面打不开检查IIS）:http://host/certsrv，选择【下载一个CA证书，证书链或CRL】，如图： 选择当前显示的证书，DER编码方式，【下载CA证书链】，如图： 直接可以得到格式为p7b格式的证书，此证书即为根证书。 获取用户证书 用用户电脑打开88/certsrv（这里的IP地址就填你服务器的地址），并用第4步中生成的AD域账号登陆： 申请用户证书： 此时在你用户的电脑的IE的个人证书里就会有此证书，你可以选择导出（可以导出私钥）： 导入第五步生成的根证书到设备并进行证书登陆测试 注意：如果用户证书没有导入到设备里，要开启信任该CA签发的所有证书用户