本頁主題

簡介 憑證授權單位的需求及必備條件 憑證授權單位設定 注意事項 相關連結

簡介

這個逐步指南將會幫助您在執行 Microsoft® Windows® 2000 Server 作業系統的網路中設定公用金鑰「憑證授權單位 (CA)」。

「憑證授權單位」是一種服務程式，可發出執行公用金鑰基礎結構所需的憑證。CA 可以是外部的商業 CA，或是您的公司所使用的 CA。憑證可讓使用者用智慧卡來登入、傳送加密電子郵件、數位簽名文件及其它。由於 CA 在組織中是一項重要的信任點，所以大部份的組織都會有自己的 CA。

Microsoft Windows 2000 提供二種類型的 CA：「企業 CA」或「獨立 CA」，使用的類型需視安裝時所選取的原則模組而定。在這些類別中，會有二種類型的 CA—根 CA 或次級 CA。原則模組可定義當 CA 收到憑證要求時，所要採取的動作。請注意，若變更原則模組，可能會變更系統的機能。客戶可以使用 Microsoft Platform Software Development Kit (SDK) 來撰寫原則模組及自訂 CA 的作業。

一般而言，如果您要發給憑證的使用者或電腦，是在屬於 Windows 2000 網域的組織中，您就應該要安裝企業 CA。如果您要發給憑證的使用者或電腦，不屬於 Windows 2000 網域，就應該安裝獨立 CA。企業 CA 需要所有要求憑證使用者在 Windows 2000 Server Active DirectoryTM 服務中，都要有登錄，而獨立 CA 則不需要。此外，企業 CA 可以發出用來登入 Windows 2000 網域的憑證，而獨立 CA 則不行。

CA 的組織是階層式的，最上層是基本信任指標或根 CA。階層結構中的所有其他 CA 都是次級 CA，只有在根 CA 受信任的情況下，才會信任次級 CA。企業根 CA 是企業中的信任點。Windows 2000 網域中可以有一個以上的企業根 CA，因此會有一個以上的階層結構。您也可以依您的需要，將獨立及企業 CA 混合並結合為一個階層結構。

企業 CA 有一個特殊的原則模組，可強制處理及發出憑證的方式。這些模組所使用的原則資訊會集中存放在 Active Directory 中的 CA 物件。這表示您若要設定企業 CA，就必須要有可以用的 Active Directory 及 DNS 伺服器。

在獨立階層結構中，獨立根 CA 位於最上層。每個新的獨立根 CA 都是新階層結構的開始。同樣地，您也可以依您的需要，將獨立及企業 CA 混合並結合為一個階層結構。

獨立 CA 具有相當簡單的原則模組，而且不會假設有 Active Directory 服務可供使用。但是，如果有 Active Directory 可以使用，獨立 CA 就會加以利用。

憑證授權單位需求及必備條件

本段將說明各種類型之 CA 的設定需求。您必須符合這些所有的需求，才能安裝 CA。

企業根 CA

企業 CA 是 Windows 2000 型的公司 CA 階層結構。如果該 CA 需要發出憑證給公司中的使用者和電腦，您就應該要設定企業 CA。基於安全的考量，通常會將企業 CA 設定為只發出憑證給次級 CA。

企業 CA 具有下列需求：

• 安裝 Windows 2000 DNS 服務 (Active Directory 所需)。
• 安裝 Windows 2000 Active Directory。企業原則會將資訊放在 Active Directory 中。
• 企業系統管理員對 DNS、Active Directory 及 CA 伺服器的權限。這是很重要的，因為安裝程式會修改很多地方的資訊，其中有些資訊需要企業系統管理員權限。

企業次級 CA

企業次級 CA 是在公司內部發出憑證的 CA，並不是該公司中最信任的 CA。(它是階層結構中另一個 CA 的次級 CA。)

企業次級 CA 具有下列需求：

• 父系 CA。這可以是外部商業 CA 或獨立 CA。
• 安裝 Windows 2000 DNS 服務 (Active Directory 所需)。
• 安裝 Windows 2000 Active Directory。企業原則會將資訊放在 Active Directory 中。
• 企業系統管理員對 DNS、Active Directory 及 CA 伺服器的權限。

獨立根 CA

獨立 CA 是 CA 信任階層結構的根 CA。如果您要在公司企業網路以外發給憑證，就應該安裝獨立根 CA。根 CA 通常只能發出憑證給次級 CA。例如，若您要發出憑證給您的客戶，讓他們可以存取您的網站，就不適合提供每個客戶各一個目錄帳戶。另一個範例就是，基於安全考量，要將您的根 CA 鎖在沒有網路存取權的金庫中，而且只要讓受信的人來存取此伺服器。

獨立根 CA 需要本機伺服器的系統管理員權限。

獨立次級 CA

獨立次級 CA 可當作單獨的憑證伺服器來操作，或是存在於 CA 信任階層結構中。若您要發出憑證給公司外部的實體，則應設定獨立次級 CA。

獨立次級 CA 具有下列需求：

• 與要處理次級 CA 憑證要求的 CA 產生關聯。同樣地，這可以是外部商業 CA。
• 本機伺服器的系統管理權限。

必備條件

這個逐步指南會假設您已經執行〈Windows 2000 Server 部署之一般基礎結構的逐步指南〉第一部份及第二部份中的程序。

一般基礎結構文件會指定特定的硬體及軟體設定。如果您不使用一般基礎結構，則在使用此文件時，必須將其納入考量。此指南中使用的所有名稱，都是依據該組指示而來的。

伺服器、用戶端及週邊產品的硬體需求及相容性最新資訊，請探訪 Windows 2000 Product Compatibility 站台。

憑證授權單位設定

您必須以企業系統管理員的身份來登入，才能查閱此逐步指南的用途。

1. 按一下 [開始]，指向 [程式集]，指向 [系統管理工具]，並按一下 [Active Directory 使用者及電腦]。
2. 即開啟 [Active Directory 使用者及電腦] 嵌入式管理單元。在左邊窗格中的 Reskit.com 下面，按一下 Users 資料夾。
3. 連按兩下 Enterprise Admins 群組。
4. 在 [Enterprise Admins 內容] 對話方塊中，按一下 [成員] 索引標籤，再按一下 [新增] 按鈕。
5. 在 [選擇使用者、聯絡人或電腦] 對話方塊中，按一下 Mike Nash，再按 [新增] 按鈕。按一下 [確定]。
   Mike Nash 現在即為企業系統管理員，具有在 Windows 2000 網路中設定「憑證授權單位」的必要權限。
6. 關閉 [Active Directory 使用者及電腦] 視窗。

您現在必須以企業系統管理員的身份來登入；在範例中，以 Mike Nash 來登入。

附註 當您設定企業媒介及企業發出的憑證電腦時，也必須以企業系統管理員的身份來登入。

設定 CA

1. 按一下 [開始]，指向 [設定]，按一下 [控制台]。
2. 連按兩下 [新增/移除程式]。
3. 按一下 [新增/移除 Windows 元件]，以啟動 [Windows 元件精靈]。
4. 選取 [Certificate Services] 核取方塊，再按 [下一步]。
5. 如果您要使用「憑證服務」的 Web 元件，請確定您已選取 IIS 核取方塊。

   精靈會提示您指定您所要安裝的「憑證授權單位」類型。安裝程式會嘗試猜測您要選取哪個選項，以使安裝程序變得較簡單。

   • 如果沒有偵測到 Active Directory，則無法使用這二項企業選項。
   • 如果有偵測到 Active Directory，且 Active Directory 中尚無 CA 登錄，就會選取 [企業根 CA] 選項。
   • 如果 Active Directory 中己有 CA 登錄，就會選取 [企業次級 CA] 選項。

   如果您要發出憑證給您組織中的實體，或是如果您需要與 Active Directory 緊密整合，或啟用智慧卡登入，請選取一個企業 CA。選取下列其中一項：

   • 企業根 CA—當您的目錄中沒有任何 CA，或是您需要第二個企業根 CA 時使用。根 CA 將會登錄在目錄中，而且企業中所有使用該目錄的電腦都會自動信任該根 CA。若要將根 CA 限制為只發出憑證給次級 CA，或是只要發出一些特別目的憑證，這是一個很好的安全措施。這表示您想要在安裝好根 CA 後，再安裝企業次級 CA。但是，您可以只選擇根 CA。
   • 企業次級 CA—若您已安裝企業根 CA，則使用此選項。一般而言，您會有多個企業次級 CA。每個這種 CA 若不是服務不同的使用者社群，就是提供不同類型的憑證。如果有一個以上的次級 CA，一旦發生問題，有可能會撤消次級 CA 的憑證，而不需要重新發出組織中的所有憑證。

   如果您要發出憑證給企業外的實體，而且不想要使用 Active Directory 或其他 Windows 2000 公用金鑰基礎結構 (PKI) 特性，即應使用獨立 CA。選取下列其中一項：

   • 獨立 CA—若您尚無獨立 CA，或是您需要第二個根 CA，以用在不同於第一個 CA 的目的，則使用此選項。
   • 獨立次級 CA—若此 CA 將會成為現存 CA 階層結構的成員，則使用此選項。階層結構中的父系 CA 可以是獨立 CA、企業 CA 或外部商業 CA。
6. 如果您需要變更預設的加密設定值，請選取 [進階選項] 核取方塊。(您必需知道如何變更加密設定值，才能選取 [進階選項]。按一下 [下一步]。
7. 如果您選取了 [進階選項]，精靈就會提示您指定所要使用的「加密服務提供者」。(如果您沒有選取 [進階選項]，就會繼續進行步驟 9。)

   在此對話方塊中，您可以變更加密設定值，如：「加密服務提供者 (CSP)」、雜湊演算法及其他進階選項。一般而言，您並不需要修改預設值。需要修改這些設定值的使用者必須非常熟悉加密法、「憑證伺服器」及 CAPI 2.0 結構。

   根據伺服器上所安裝的軟體及硬體，CSP 清單會有所不同。[金鑰長度] 可指定公用及私密金鑰配對的長度。此方塊中的預設值會產生一對金鑰，其預設長度是由所選取的提供者來決定的。Microsoft 建議您在根 CA 及企業 CA 使用較長的金鑰，例如：1024 或 2048。(請注意，長度較長的金鑰在計算時較耗資源，而且並不是所有的硬體裝置都可以接受。例如，有些智慧卡可能不會接受有 4096 位元金鑰之 CA 所發出的憑證，因為該智慧卡有空間限制。)

   [使用現有金鑰] 選項可讓您使用先前所產生的金鑰，或是重覆使用先前安裝之 CA 的金鑰。在安裝 CA 時，您幾乎是不能重覆使用金鑰的。但是在發生故障後，要還原 CA 時則例外。然後您要匯入 一組現存的金鑰，並安裝使用這些金鑰的新 CA。此外，如果您在故障後要還原 CA，則必須選取 [使用相關聯的憑證] 核取方塊。這樣可以確保新 CA 會有與舊 CA 一致的憑證。如果您不選取此方塊，就會產生新的憑證，而新的 CA 就會和舊 CA 不同。

   附註 私密金鑰一定都是存放在伺服器的本機上，但若有使用加密硬體裝置則例外。在這種情況下，私密金鑰會存放在該裝置中。公用金鑰位在憑證中，而且若為企業 CA，會將憑證發行在 Active Directory 中。

8. 精靈會提示您提供適用您的站台及組織的確認資訊。
9. 請注意，CA 名稱 (或公用名稱) 是很重要的，因為我們要用它來確認在該 Directory 中建立的 CA 物件。只有根 CA 才能設定 [有效期間] 的時間。將根 CA 的 [有效期間] 時間設定為合理的值：實際的有效期間是安全及管理費用之間的互換。請記得每當根 CA 憑證過期時，系統管理員就必須更新所有信任關係，並且要採取管理步驟來將 CA 移動至新的憑證。時限通常為二、二年就夠了。當您完成輸入資訊時，請按 [下一步]。
10. 出現一個對話方塊，定義憑證資料庫的位置、設定資訊，以及存放「憑證廢止清單 (CRL)」的位置。「企業 CA」一定都是將其資訊 (包括 CRL) 存放在該目錄中。建議您選取 [共用資料夾] 核取方塊。此選項會指定要用來存放 CA 設定資訊的位置。請使此資料夾成為 UNC 路徑，並使您所有的 CA 都指向同一個資料夾。當無法使用 Active Directory 時，管理工具即可使用此資料夾來決定 CA 的組態設定。如果您有 Active Directory，則可以不使用此資料夾。如果您沒有 Active Directory，就需要此資料夾。

    如果您是在之前已安裝 CA 的相同位置上安裝 CA，就會啟用 [保留現存的憑證資料庫] 選項。如果您要讓您新增 CA 使用此資料庫，請選取此選項；否則，將會刪除該資料庫。

    當您指定好存放您的資訊的位置時，請按 [下一步]。

11. 如果有執行 IIS，就會出現訊息來提示您將該服務停止。按一下 [確定]，以停止 IIS。您必須停止 IIS，才能安裝網路元件。如果您沒有安裝 IIS，就不會看到這則訊息。
12. 如果您是安裝次級 CA，接下來精靈會提示您輸入您要如何要求憑證的相關資訊。
    按一下 [瀏覽]，以尋找線上 CA，或者如果您要要求商業 CA，或是不能從網路存取的 CA，請選取 [將要求儲存成檔案]。(如果您建立檔案，就必須將該檔案送到 CA 來處理。CA 會提供您一個憑證，您可以用 MMC 嵌入式管理單元來安裝。) 按一下 [下一步]。
13. 如果您將憑證要求儲存至檔案，就會顯示一個名為 [Microsoft 憑證服務] 的對話方塊。按一下 [確定]，即可完成安裝。按一下 [完成]，關閉精靈。

安裝完成後，請將您建立的「憑證要求」檔案送到 CA 來處理。如果您是使用 [Microsoft 憑證服務] 來處理此檔案，您可以參閱「憑證服務逐步指南」網頁，以取得處理要求的詳細資訊。

若您有新的憑證，即可使用 [憑證授權單位 MMC] 嵌入式管理單元來安裝憑證，並啟用您的 CA。

驗證憑證伺服器安裝作業

無論您是建立企業 CA 或獨立，都可以快速地察看您的安裝作業是否成功。

最簡單的方法就是開啟指令視窗，輸入 net start，看「憑證服務」是否正在執行。

• 若為企業 CA，請開啟 [憑證] 嵌入式管理單元。按一下 [開始]，指向 [程式集]，指向 [系統管理工具]，選擇 [憑證授權單位]，並要求憑證。
• 若為獨立 CA，您可以連線到 URL http://Localhost/CertSrv，使用 Microsoft Internet Explorer 5 來要求新的憑證。將 localhost 取代為該伺服器的名稱。詳細資訊，請參閱〈Step-by-Step Guide to Certificate Service Web Pages〉。

移除憑證服務

1. 按一下 [開始]，指向 [設定]，按一下 [控制台]。
2. 按一下 [新增/移除程式]。
3. 按一下 [新增/移除 Windows 元件]，即出現 [Windows 元件精靈]。
4. 清除 [Certificate Services] 核取方塊，按 [下一步]。

從檔案安裝次級 CA 憑證

本段僅限已在安裝次級 CA 期間建立憑證要求檔案的人使用。

開始本段之前，請先將憑證要求檔案送到您的 CA 處理。您的 CA 會提供您此檔案的憑證。如果您要將此檔案提交至 [Microsoft憑證服務]，請參閱〈Step-by-Step Guide to Certificate Service Web Pages〉，以如何取得提交要求檔案的詳細說明。

本段會使用「憑證服務」嵌入式管理單元。相關詳細資訊，請參閱〈Step-by-Step Guide to Advanced Certificate Management〉。

1. 開啟 [憑證服務] 嵌入式管理單元。
2. 用滑鼠右鍵按一下您要安裝的 CA。
3. 按一下 [安裝 CA 憑證]。即出現 [安裝 CA 憑證精靈]。
4. 遵循精靈的指示，並選取包含您的 CA 所提供之憑證的檔案。
5. 按一下 [完成]，即可完成設定。

現在已安裝好您的 CA，並可準備驗證。

注意事項

獨立原則作業

「憑證伺服器」獨立原則作業已變更。在過去，預設的原則模組會立即處理要求，並發出憑證。而新的獨立原則會擱置要求，直到系統管理員手動核准要求。這個新作業只會影響獨立 CA。企業原則仍是會立即處理要求。

在遠端伺服器上安裝網頁

如果 CA 是企業 CA，「憑證服務」 網頁就必須安裝在與 CA 相同的電腦上。CA 必須驗證用戶端，以確保該用戶端只能要求它有要求權限的憑證。如果該網頁是在 Web 伺服器中的其他電腦上，則 CA 無法驗證使用者。

安裝 CA 及 Web 伺服器

必須先安裝 Web 伺服器，才能安裝 CA，以確保已安裝該網頁。如果先安裝 CA，還是可以使用，但是您可能無法存取網頁。您可以執行下列指令來啟用網頁：

certutil -vroot

Certificate Server 1.0 升級

當您從 Windows NT Server 4.0 升級為 Windows 2000 時，可執行的「憑證服務」及動態連結程式庫 (DLL) 檔案也都要升級。請注意，您要先執行 Dbcnvt.exe 公用程式，將舊的 1.0 版資料庫轉換成新的格式，CA 才能處理任何新的要求，這是很重要的。若組態設定使用經過修改的 1.0 版資料庫，則不支援其升級作業。

相關連結

〈Windows 2000 Server 部署之一般基礎結構的逐步指南〉：

第一部分：將 Windows 2000 Server 安裝為網域控制站

第二部份：安裝 Windows 2000 Professional Workstation 並連接網域

Windows 2000 Server 線上說明