在中小型公司建立企业根证书颁发机构 (CA)

本页内容

	简介
	准备工作
	安装和配置企业根 CA
	证书服务实现示例：为无线用户建立自动注册功能
	相关信息

简介

对于当今的任何一个组织来说，在 Internet、Extranet、Intranet 上和在应用程序之间交换未保护信息都会产生潜在的安全风险。它们所面临的挑战是防止未授权的第三方监听在 Internet 上传输的信息、伪装成获得授权的人员或干扰组织开展业务的能力。

本文提供的分步向导可助您在运行 Microsoft® Windows Server™ 2003 操作系统的网络上建立一个公共密钥证书颁发机构 (CA)。可以在运行 Microsoft® Windows Server™ 2003, Standard Edition、Microsoft® Windows Server™ 2003, Enterprise Edition 或者 Microsoft® Windows Server™ 2003, Datacenter Edition 的服务器上安装 CA。

CA 是一项在公钥基础结构 (PKI) 中用于颁发和管理电子凭据或证书的服务。公钥基础结构 (PKI) 由数字证书、CA 和其他可通过公钥加密对电子交易中的各方进行授权有效性验证的注册机构 (RA) 组成。有关 PKI 的标准目前还在进一步发展中，但是作为电子商务中的一个必要元素目前正在被广泛应用。许多政府代理机构和私人团体都已经公布了他们自己的 PKI 标准。在执行一个 PKI 体系之前，应向律师咨询以确保该体系不违反所有相关的本地、州、联邦政府和国际法律法规。

Windows Server 2003 PKI 可以与 Microsoft® Windows® XP Professional 的客户端集成在一起，它有助于组织及其雇员、合作伙伴、供应商和客户之间的通信安全。运行 Windows Server 2003 证书服务的服务器可将公钥颁发给个人、设备或服务。证书持有者 PKI 可采用应用激活软件和激活技术来启用中心管理的身份验证，以确保数据机密性和数据交换的安全性。Windows Server 2003 本身支持 PKI 激活技术，这提供了下列技术及与之相关的商业利益的基础：

此外，在有 Windows Server 2003 PKI 的情况下，还可以利用它将证书服务和 Active Directory® 目录服务和组策略集成在一起。在 Active Directory 环境下，Windows Server 2003 CA 可以使用“证书模板”来控制所颁发证书的内容，其中“证书模板”由 Active Directory 颁发。证书模板可以定义证书中的信息，并将证书中的技术细节更透明地传递给用户，从而达到简化 CA 使用和管理的目的。根据组织的需要，可以使用单一用途模板，这种模板可以针对特定应用生成证书；也可以使用多用途模板，这种模板可以为多种应用生成证书，甚至可以根据自定义需要生成新的证书模板。

本文档所提供的指导内容包括如何建立企业根 CA、如何使用证书模板来启用客户端自动注册功能、以及如何为无线用户创建自动注册功能。特别地，可以通过它学习如何进行如下操作：

要点：本文档中的屏幕截图所示为测试环境，其信息可能与屏幕上显示的信息有差别。

在完成这些步骤之后，网络将会含有企业根 CA，同时可以通过证书模板管理单元访问所有可用的证书模板。此外，客户端自动注册功能在验证过程中会要求无线用户使用数字证书，这可以加强无线用户的验证过程。自动注册功能可以使用户几乎无需理会此要求，原因使此功能使他们能够自动请求证书，重新检索颁发证书和更新到期证书。可以通过扩展 PKI 的应用来放宽 Windows Server 2003 PKI 为网络所提供的保护，以支持其他应用，比如前面提到过的数字签名、IPSec 等。

要点：该文档中所含的指导步骤都是从安装操作系统时的默认情况下显示的“开始”菜单开始的。如果您修改过“开始”菜单，则上述步骤可能稍有不同。

返回页首

准备工作

本节讲述了一个企业 CA 的安装要求。在安装 CA 之前必须满足所有安装要求，如果达不到这些要求，会导致安装失败或 CA 功能受限。

此文档中的说明假定有一个还没有进行配置的 PKI 系统。但该文档中所讲的解决方案并不能为附加 Microsoft CA 服务与现有 PKI 的集成提供指南。

IT 基础设施的先决条件

您的组织必须配有下列 IT 基础设施：

每一步操作中所需的 Windows Server 2003 操作系统的版本

企业 CA 要求

要使用 Windows Server 2003 有效安装企业 CA，必须进行如下操作：

企业根 CA 只需要一个服务器就可以创建。

下表在 Windows Server 2003 建议的基础上给出了企业根 CA 服务器的推荐硬件配置。但是如果硬件在有些方面符合 Build Guide 2-Implementing the Public Key Infrastructure（英文）中略述的标准，则不必再购买新的硬件。若要了解 Microsoft Server 2003 企业根 CA 推荐硬件配置的更多信息，可在 TechNet 网站 http://go.microsoft.com/fwlink/?LinkId=22696 上参考“创建指南 2 － 公钥基础结构的实施”。

企业根 CA 服务器的推荐硬件配置

选择要用的 CA 类型

有些组织使用外部商业 CA，而其他组织都使用自己的 CA。由于 CA 是一个组织中最重要的信任点，因此大多数组织都有自己的 CA。本文档假定的组织使用自己的 CA。

Windows Server 2003 提供两种级别的 CA，一个是“企业”CA，另一个是“独立”CA，选择哪一种取决于安装过程中使用的策略模块。策略模块决定了 CA 收到证书请求时所进行的操作。

通常，如果组织为 Windows Server 2003 域的一部分，若对此组织内部的用户或计算机颁发证书，应安装企业 CA。如果组织为 Windows Server 2003 域的一部分，若对此组织外部的用户或计算机颁发证书，应安装独立 CA。

企业 CA 要求所有请求证书的客户端在 Active Directory 中都有一个条目，而独立 CA 不需要。此外，在颁发用于登录 Windows Server 2003 域的证书时，企业 CA 比独立 CA 更简便。

在企业 CA 和 独立 CA 级别内部，有两种类型的 CA，一个是“根”CA，另一个是“从属”CA。根 CA 是组织信任的根基。在必要的情况下，根 CA 证书可通过启用从属 CA 来实施策略和向终端用户颁发证书。本文档将向您展示如何安装和配置没有从属 CA 的企业根 CA。

若要了解企业 CA、独立 CA、根 CA、从属 CA 和密钥 PKI 设计决策的更多信息，请在 TechNet 网站上参考 MSA Enterprise Design for Certificate Services 的“Determining CA Roles & Types”（英文）主题，其位置是 http://go.microsoft.com/fwlink/?LinkId=22671。

开始之前需了解内容

CA 部署之后哪些内容不能更改

返回页首

安装和配置企业根 CA

证书服务根的安装过程会生成一个根 CA 证书，该证书中含有 CA 的公钥和由根的私钥所创建的数字签名。本节提供了有关建立企业根 CA、使用证书模板启用客户端自动注册和建立自动注册的分步指导信息。

安装和配置企业根 CA

现在需要以企业管理员的身份登录，例如以 Enterprise Admins 组和根域的 Domain Admins 组的成员帐户登录。

要求

•

安装和配置企业根 CA 1. 作为 Enterprise Admins 组和根域的 Domain Admins 组的成员登录。 2. 单击“开始”，再单击“控制面版”，再单击“添加和删除程序”，然后单击“添加 Windows 组件”。 3. 在“Windows 组件向导”中，选中“证书服务”复选框。然后会出现一个对话框，通知您在证书服务安装之后计算机不能被重新命名以及计算机不能加入域或从域中删除。单击“是”。 注意： 如果要使用证书服务的 Web 组件，应单击“应用服务器”（但不要选中它的复选框）以确保“IIS”复选框已选中，然后单击“详细信息”，选中“Internet 信息服务 (IIS)”，然后单击“确定”。 单击“下一步” 4. 在“CA 类型”页面上，选择“企业根 CA”，然后单击“下一步”。 注意： 私钥总是存储在本地服务器上，除非使用加密硬件设备。在公钥被存放在证书上的情况下，私钥被存储在设备上。公钥位于证书中。 5. 在“CA 信息标识”页面提供适于您的站点和组织的信息标识。 1. 在“此 CA 的公用名称”中，输入证书颁发机构的公用名称。 CA 名称（或公用名称）很重要，因为要用它来标识在 Active Directory 中创建的 CA 对象。 2. 在“有效期”中选择接受5年的默认选项，然后单击“下一步”， 其中“有效期”是 CA 有效的时间，即安全和管理之间的权衡。请记住，在每次根证书到期的时候，管理员必须更新所有信任关系，并要采取一些管理性步骤把 CA 转移到新的证书上。在大多数企业环境中，通常的时间期限是 5 年或更多，但是要符合正式的 IT 策略和程序。同时向您的律师咨询，以确保 CA 配置符合所有法律要求。 6. 在“证书数据库设置”页面，单击“下一步”接受证书数据库的默认存储路径和证书数据库日志，然后确认“将配置信息存储在共享文件夹内”没有选中。 注意： 安装程序可能会给出“不能创建共享文件夹”的警告信息，这是预料中的，因为所有网络接口都已禁用。安全的做法是忽略这一警告，继续进行后面的操作。此外一定要将证书数据库和证书数据库日志存储在本地 NTFS 驱动器上。 7. 如果 IIS 正在运行，将会有信息提示您停止该设备。单击“是”停止 IIS。必须在 Web 组件安装之前停止 IIS。 注意： 如果没有安装 IIS，则不会显示该消息，Web 注册也不可用，除非已安装 IIS。 然后，可选组件管理器将安装证书服务组件。如果需要 Windows Server 2003 安装媒体 (CD)，请将 Windows Server 2003 产品 CD 插到 CD 驱动器中。 8. 单击“确定”完成安装。单击“完成”关闭向导。

安装 CA 后，请将证书模板添加到 CA 中，并对 CA 进行配置以允许主题能够请求基于模板的证书。

注意：如果自己建议或者计划采用指南中的建议来加强组织内域控制器的安全性，需要修改域的组策略设置以启用证书服务。若要了解完成此项任务的更多信息，请在 Security Guidance Kit 中参考文档“Securing Windows Server 2003 Domain Controllers”（英文）。

验证 CA 安装

验证 CA 安装是否成功的最简单的方法是输入 net start ，看 CA 是否运行。

如要进一步验证或要处理中间出现的故障错误，还可以在 systemroot\certocm.log 中查看 CA 安装日志。

还可以采用以下的步骤

要求

安装证书模板

该步骤将向您演示如何安装和查看默认证书模板。若要了解每个默认证书模板的说明，请在 TechNet 网站上参考 Implementing and Administering Certificate Templates in Windows Server 2003 的“Default Templates”（英文）主题，其位置是 http://go.microsoft.com/fwlink/?LinkId=22669。

要求

•	安装和查看默认证书模板。 1. 单击“开始”，再单击“运行”，然后在“运行”对话框中输入 certtmpl.msc，然后单击“确定”。 2. 如果是第一次在 CA 上运行证书模板管理单元，将会收到需要安装证书模板的提示消息，每一个消息都单击“是”。 3. 在控制台树上单击“证书模板”。所有证书模板都将显示在详细信息窗格内。 4. 关闭“证书模板”。

创建自定义证书模板

证书模板允许对证书服务所颁发的证书（包括证书的颁发方式和所含内容）进行自定义。证书模板是对传入的证书请求所应用的一组规则和设置。

可通过复制现有模板或使用现有模板属性作为新模板的默认属性，来创建新的证书模板。通过复制与所需要的新模板最接近的现有证书模板，可以大幅减少工作量。

要求

为客户端自动注册配置证书模板

在 Windows XP 和 Windows Server 2003, Enterprise Edition 中，自动注册是一个非常有用的证书服务功能。有了自动注册，就可以将客户端配置为在无需客户端参与的情况下自动注册证书、检索颁发的证书和更新到期证书。客户端不需要了解证书的任何操作，除非您将证书模板配置为需要与客户端交互。

本节讲述了修改证书模板的一种方法：客户端自动注册。若要了解有关自动注册的更多信息，请在 TechNet 网站上参考 Certificate Autoenrollment in Windows Server 2003（英文），其位置是 http://go.microsoft.com/fwlink/?LinkId=22668。

要正确配置客户端自动注册功能，需对证书模板或要采用的模板进行适当的计划。证书模板中的几个设置会直接影响客户端注册的行为。

要求

为默认证书模板授予注册权

此步骤将配置在“为客户端自动注册配置证书模板”步骤中已被自动注册的客户端要使用的默认模板。

要求

注意：若要禁止主题请求基于模板的证书，请采用此过程中同样的步骤清除“读取”和“注册”复选框。

配置 CA 以颁发基于证书模板的证书

此步骤向 CA 添加将由该 CA 颁发的新证书模板。

要求

从 CA 删除证书模板

在定义和配置完计划采用的证书模板之后，最佳做法是将不用的证书模板全部从 CA 上删除。删除证书模板只是断开与 CA 的连接，而不是将它从证书模板存储中物理删除。如果将来需要将证书模板删除，可重复“安装证书模板”中的步骤以执行该任务。

要求

返回页首

证书服务实现示例：为无线用户建立自动注册功能

要将服务器配置为提供用户和计算机证书的自动注册功能，请执行以下操作：

要求

为无线用户创建证书模板

•	为无线用户创建证书模板 1. 单击“开始”，再单击“运行”，然后在“运行”对话框中输入 certtmpl.msc ，然后单击“确定”。 2. 在“证书模板”的详细信息窗格中，单击“用户”模板。 3. 在“操作”菜单中，单击“复制模板”。 4. 在“新模板属性”页面的“常规”选项卡上，在“模板显示名”框中，输入“无线用户证书模板”。 5. 单击“应用”继续下一步操作。

为客户端自动注册配置证书模板

•

为客户端自动注册配置证书模板 1. 在“无线用户证书模板属性”页面的“常规”选项卡上，确保“在 Active Directory 中发布证书”复选框被选中。 2. 单击“安全”选项卡。 3. 在“组或用户名”列表上单击“域用户”。 4. 在“域用户权限”列表的“允许”列下方，选中“读取”、“注册”和“自动注册”复选框。 5. 单击“主题名称”选项卡，清除“在接受方名称中所含电子邮件名”和“电子邮件名称”，然后单击“确定”。 要点： 在此示例中，出于实验目的，没有在 Active Directory 用户和计算机管理单元中为 WirelessUser 帐户输入电子邮件名称，所以这两个选项都被禁用。为了自动注册要分发给客户端的用户证书，您需要输入 WirelessUser 帐户的电子邮件地址，或者不选中这两个电子邮件框。 6. 单击“确定”，然后关闭“证书模板”。

配置 CA 以颁发基于证书模板的证书

•

配置 CA 以颁发基于证书模板的证书 1. 单击“开始”，指向“所有程序”再指向“管理工具”，然后单击“证书颁发机构”。 2. 在控制台树上展开企业根 CA，然后单击“证书模板”。 3. 在“操作”菜单上，指向“新建”，然后单击“要颁发的证书”。 4. 如果需要，请向下滚动，然后选中“无线用户证书模板”。 5. 单击“确定”。 6. 单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“Active Directory 用户和计算机”。 7. 如果需要，请在控制台树上双击“Active Directory 用户和计算机”，然后右键单击 Contoso.com 域，然后单击“属性”。 8. 在“组策略”选项卡上，单击“默认域策略”，然后单击“编辑”，这将打开组策略对象编辑器管理单元。 9. 在控制台树上展开“计算机配置”、“Windows 设置”、“安全设置”、“公钥策略”，然后单击“证书自动请求设置”。 10. 右键单击“证书自动请求设置”，指向“新建”，然后单击“自动证书请求”。 11. 在“欢迎使用证书自动请求安装向导”页面上，单击“下一步”。 12. 在“证书模板”页面上，单击“计算机”，然后单击“下一步”。 13. 在“证书自动请求安装向导完成”页面上，单击“完成”。然后“计算机”证书类型会在组策略对象编辑器管理单元的详细信息窗格中显示。 14. 如果需要，请在控制台树中向下滚动，然后展开“用户配置”、“Windows 设置”、“安全设置”和“公钥策略”。单击“公钥策略”。 15. 在详细信息窗格中，双击“自动注册设置”。 16. 单击“自动注册证书”，选中“续订到期证书，更新未决证书和删除吊销的证书”复选框，然后选中“更新使用证书模板的证书”复选框，然后单击“确定”。 17. 关闭组策略对象编辑器和 Active Directory 用户和计算机。

当已升级的默认域组策略对象有效的时候，客户端必须重启计算机，然后通过一个允许使用新组策略设置的有线连接和一个要颁发的证书登录。需通过客户端计算机的证书管理单元来对证书进行验证，以查看用户和计算机的个人证书存储。

如需了解有关无线网络选项的更多信息，请参考 Microsoft 网站上的 Microsoft Solution for Securing Wireless LANs（英文），位置为 http://go.microsoft.com/fwlink/?LinkId=22676。

返回页首

相关信息

有关创建企业根 CA 的更多信息，请参考以下内容：

有关公钥基础结构以及如何在中小型企业配置和管理 CA 的更多信息，请参考以下内容：

返回页首