项目环境：

Windows Server 2008 部署证书服务器、IIS

Windows Server 2003 测试验证申请证书以及访问网站

Windows Server 2008 IP 192.168.19.100

Windows Server 2003 IP 192.168.19.125

实施目的：

通过搭建Windows Server 2008 证书服务器以及IIS，通过证书服务，来增加网络的安全性。

部署过程：

1、 首先打开“服务器管理器”添加角色；如图所示：

2、 然后选择安装“Active Directory 证书服务”需要注意的是虽然这里安装的是“Active Directory 证书服务”但是并不一定要在域环境下安装部署。如图：

3、 如图是证书服务器的简介和安装的一些说明以及注意事项：

4、 上图安装的时候是需要安装相关的服务；如图我们按照需求来安装部署。

5、 然后在我们安装的时候选择我们部署的插件安装；可以根据自己公司的需求和架构来写。

6、 然后我们在部署证书服务器的时候选择独立的证书服务；企业的CA是需要在域环境下部署，因我们是工作组因此我们只能安装独立的CA服务器。如图所示：

7、 然后在CA证书类型中我们选择独立的根CA我们是第一次安装部署，子级CA是在CA证书服务器已经部署好了我们在需要部署的时候安装选择。如图：

8、 创建私钥，如果我们有私钥的备份或者有私钥我们选择“使用现有私钥”即可，我们第一次部署证书服务器没有私钥我们就自己动手创建一个私钥。如图：

9、 既然我们新建私钥肯定要加密了，我们就选择系统默认的加密程序，使用默认的哈希值。我们都可以采用默认的。当然我们在实施的时候，也可以根据不同的需求来采取不同的加密程序和哈希算法。

10、 然后我们选择CA的一些需求，如图：证书的公用名称，可分辨的后缀名我们不填写默认的后缀，系统会给我们自动生成，当然也可以修改。然后就是有效期的设置。

11、 如图是证书数据库位置和日志的位置；如图：

12、 如图根据我们的需求来安装相应的插件。

13、 添加完我们需要的角色，如图是我们需要安装CA服务，我们需要记住的是：当我们安装完之后不要修改计算机名或者IP地址。不然会出现相应的问题；如图所示：

14、 如图是安装完成的界面:

15、 然后打开服务器管理器查看我们是否安装成功。如图：（安装CA服务器我们最好重启下服务器以免有的插件没有生效）。

客户端Windows Server 2003申请证书服务器配置：

1、 在我们部署CA之前。WEB服务的搭建部署已经完成，我们直接在client上输入www.kcc.com/certsrv。申请“客户端证书”。我们选择“申请证书”。我们在第一次申请时候需要注意的是，有时候IE浏览器安全的权限比较高我们可以在IE安全中设置相关的选项。如图所示：

2、 然后我们选择“高级证书申请”如图所示：

3、 申请“高级证书申请”之后会弹出如下的界面，我们选择“创建并向此CA提交一个申请”，如果我们已有订阅的或者存在的证书我们可以选择第二个。如图：

4、 点击申请之后我们就填写资料就OK，在需要证书类型的这边我们需要选择“客户端身份验证证书”。在密钥选项这一栏我们创建新密钥；如果有创建好的密钥我们就直接可以导入，密钥的用法就按照默认；还有需要我们注意的是密钥的用法我们设置为“标记密钥为可导出”这在我们安全方面是很实用的。在后续我们申请证书的时候我们可以用我们导出的证书密钥以及相关设置。在后期我们的CA证书高级部署中我们会继续讲解。如图所示：

5、 填完相关的资料我们选择提交就完成了如图所示：

6、 然后我们在回到CA证书服务器上面查看是否有挂机的证书；如图我们刚才客户机上面申请的证书，然后我们可以查看证书的状态，相关内容；在所有任务中我们也可“拒绝也”或者“颁发”当然我们直接可以颁发CA客户端申请的证书。如图：

7、 然后再客户端我们“查看挂起的证书申请的状态”如图所示：

8、 如图是我们挂起申请证书的状态；

9、 然后我们点击“客户端身份验证证书”；并且安装此证书。然后安装的时候会弹警告点击确定就OK如图所示：

10、 如图证书已经安装完成。

11、 在Internet选项IE浏览器中，选择内容“证书”来查看下我们的证书的详细信息如图：