域控制器证书配置

关于域控制器和证书服务器分离的部署策略

配置过程如下：

一．域控制器的配置

1．安装DNS服务器。首先，在服务器上安装WIN 2003 企业版（如果不是企业版，则V2模板有些不能使用）。安装好WIN 2003系统以后，点击“配置你的服务器向导”，选择“自定义配置”，点中 “DNS服务器”，安装DNS服务器，根据提示可以很容易的自行安装。在此不再赘述。

2．配置AD。安装好DNS后，再点击“配置你的服务器向导”，选择“自定义配置“，点中“域控制器”，点击“下一步“，等一下，会出现如下界面：

选择“新域的域控制器“，点击”下一步”，出现如下界面：

选择“在新林中的域”，点击“下一步”，出现如下界面

输入新域的域名（例如“jobbyd.com”，特别提示，一定要有后缀”.com”且不能和计算机重名）。然后点击“下一步”，其他页面选择默认或自行更改，出现输入还原密码页面，如下：

输入还原模式密码，。点击“下一步”，剩下的就是等win 自动安装完成就 可以了。

然后安装KEY的CSP程序

小结：域控制服务器的配制顺序：先安装DNS，然后配置AD。

二．证书服务器的配制

1．把另外一台服务器安装WIN2003 企业版，然后加入到按上述方法配制成的域中，即jobbyd.com中。

2．安装IIS。点击“配置你的服务器向导”，安装IIS 服务器。以上两步皆为常规配制，在此不再赘述。

3．安装域控制器，点击“配置你的服务器向导”，点中“域控制服务器”，当出现下图时，

选择“现有域的额外域控制器“，点击”下一步“，出现如下界面：

输入用户名（例如，administrator，该用户必须是Domain admins组的成员），密码，域名，点击“下一步“，出现下图：

输入还原模式密码，点击“下一步“，对配置文档的存放位置，可以是默认位置，或自行更改位置。然后一路默认设置，就可以了，WIN 会自动安装完成域控制器

4． 添加证书服务。点击“控制面板”－》“添加/删除程序”－》“添加/删除windows组件”，点中“证书服务”，使其前面的方框中被打上勾，会出现如下一个对话框：

选择“是”，点击“下一步”，出现如下：

选择“企业根CA”，点击“下一步”，如下图：

输入ca的公用名称，和有效年限，点击“下一步“。其他一路默认，WIN系统会自动完成安装。

5．安装KEY的CSP程序。

6．打开注册表编辑器，找到并单击下面的注册表项：

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\CertSvc\\Configuration\\

在右窗格中，确认“ValidityPeriod”项的值，其值可能为：Days、Weeks、Months、和Years，将“ValidityPeriodUnits”项设为希望的数值，该数值为证书的有效期限（例如，键入“2”。）重新启动计算机。

配置证书模板

在此步骤中，为了便于创建证书模板，首先介绍一下模板的有关概念。证书企业CA所颁发的证书都是基于证书模板的，因此我们下面要定义一些证书模板，并设置证书的属性，之后管理员需要启动那些用户需要申请的证书模板，这样用户才可申请这类的证书。

在MMC管理器控制台（在【开始】－【运行】键入‘MMC’），点击“文件”－“添加/删除管理单元”，添加【证书模板】管理单元，可进行证书模板的管理和配置。

在【证书模板】窗口中，可以看到有些模板图标为灰色，这是V1版本的模板，而图标为绿色模板是V2版本的模板，这类模板属性可以进行修改。双击任何一个证书模板，就可以查看证书模板的详细配置信息。

不同的模板其中含有的信息不尽相同，V1模板中的配置是不可更改的，但V2模板的配置可自定义，而且V2模板含有更多的属性信息。Windows 2003 企业版的CA支持V2版本模板，这类模板的信息是可以修改的。打开这类模板时，可以在可编辑的部分进行修改。V1模板的模板虽然不可直接修改，但是可以进行复制，创建一个新的V2模板，并编辑新建的V2模板。新建的模板的图标将显示为绿色。

复制并创建一个新的智能卡登录模板的具体步骤如下：

（1）在【开始】－【运行】键入‘MMC’，点击“文件”－“添加/删除管理单元”，在弹出的对话框中，点击【添加】，添加【证书模板】管理单元，可进行证书模板的管理和配置。在【证书模板】管理单元中，右击“智能卡登录”模板，在弹出的快捷菜单中选择【复制模板】命令，在打开的【新模板的属性】对话框中，可以修改新建V2模板的名称

以及其他属性。如图：

可以修改模板的名称，有效期限（实际颁发证书的有效期限是注册表时间，模板规定有效时间，和上级颁发者时间三者中的最小值），和续订期限，在【安全】标签中可以指定模板用户对模板的使用权限，还可以在【取代模板】标签中指定要取代的模板，在【处理请求】标签中指定密钥长度和所使用的CSP。修改完成之后。

启用证书模板

在【证书颁发机构】管理单元中，展开CA服务器名称，找到并右击【证书模板】容器，在弹出的菜单中点击【新建】－【要颁发的证书模板】。在弹出的对话框中，选中要添加的模板，点击【确定】。

证书颁发

Windows CA可颁发两种智能卡证书：【智能卡用户】和【智能卡登陆】。【智能卡登陆】可用于Windows 登陆验证，【智能卡用户】用于Windows 登陆验证和电子邮件保护。需要修改那些模板类型，具体应由证书颁发的方式来决定。请先浏览后面再决定复制哪些模板。智能卡证书一般是使用智能卡注册代理的颁发办法，对域管理员用户（或用户设定的其他有权限的工作组）也可以自行创建申请并颁发证书，该办法同时适用于Windows 2000 和 Windows 2003 的CA。下面中我们将对这两种办法分别进行介绍，并比较二者的优缺点。

 使用智能卡注册代理的颁发办法的优点是只要管理员登录到有注册代理权限的计算机上就可以为所有用户颁发证书。在这种颁发方法中，用户不能直接申请证书，而是由一些值得信赖的用户在选定的计算机上为其他用户代理颁发智能卡证书，然后将智能卡交给相应的用户。这种智能卡的颁发过程是很安全的。发证书也非常方便，缺点是：此方法之支持【智能卡登录】和【智能卡用户】模板，不能应用于其他模板，即所发证书的有效期为1年。

 用户自行创建申请并颁发证书的方法的优点是不需要注册代理来颁发证书，需用自己申请证书，可以使用用户有注册权限的任何模板，证书的期限可以随用户自己设置。缺点是： 每个需要证书的用户需用自己的账号登录来申请证书，如果管理员代为申请则效率可能会慢点。

鉴于证书有效期结束后，系统管理员需要为用户重新颁发证书，并且使用智能卡注册代理颁发的证书有效期皆为1年，建议使用用户自行创建申请并颁发证书的方法。

1) WEB方式下使用注册代理为用户颁发智能卡证书

用户可以使用【智能卡登录】证书模板，此外还需要选择注册代理的账号和进行智能卡证书颁发操作的计算机，一般选择域管理员为注册代理用户。分别配置注册代理用户和计算机对【注册代理】和【注册代理（计算机）】证书模板的注册权限。可以参照下面的操作。

（1）在控制面板中或mmc控制台中打开【证书颁发机构】管理单元，启用【注册代理】、【注册代理（计算机）】、【智能卡登陆】、【智能卡用户】4种证书模板。

（2）在【开始】－【运行】键入“MMC”，启动MMC管理单元，在【文件】－【添加或删除管理单元】，在打开的对话框中点击【添加】，弹出如下对话框

在该对话框中选择【证书】项，点击【添加】－选择【我的用户账号】－点击【确定】，

此时界面如下：

点击【确定】，则MMC管理平台如下：

在【证书－当前用户】－【个人】－单击右键【证书】，选择【所有任务】－【申请新证书】，选择相应的注册模板，就可以了。

在为用户颁发智能卡证书之前，注册代理用户需要登录到注册代理计算机上，此计算机上已经安装了【注册代理】和【注册代理（计算机）】证书。将空的智能卡插入到该计算机上，然后按照以下步骤为用户申请智能卡证书：

（1）访问企业CA的WEB申请页面：http://CAServer的IP/certsrv/dafault.asp

(2) 在欢迎页面中，单击【申请一个证书】链接。

(3) 在下一个页面中，单击【高级证书申请】链接

（4）在下一个页面中，单击【通过使用智能卡证书注册站来为另一个用户申请一个智能卡证书。】链接

（5）当第一次访问智能卡注册页面时，IE需要从服务器下载ActiveX控件，如果IE的安全设置较高，用户就会收到相关的警告框。按照警告框提示修改IE的安全设置。

（6）智能卡证书申请页面【智能卡证书注册站】，如图所示，在该页中继续下面的操作步骤

(7) 在【证书模板】下拉列表框中，选择【智能卡登录】选项。

(8) 在【证书颁发机构】下拉列表中，选择一个企业CA（如果存在多个）。

(9) 用户可以参考智能卡商的说明，在【加密服务提供程序】下拉列表中选择一种加

密服务提供程序，或保持默认CSP。我们选用”HaiTai Cryptographic Services Provider”.

(10) 【管理员签署证书】即是注册用户所申请的注册代理证书，点击旁边的【选择证书】按钮，在弹出的【选择证书】对话框中，选择为注册代理用户颁发的注册代理证书。

(11) 在【智能卡证书注册站】页面中，选择需要申请智能卡证书的用户，注意该用户需要对智能卡证书模板具有【读取】和【注册】权限。当选择需要颁发智能卡证书的用户后，页面下放将出现【注册】按钮。

(13) 将智能卡插入计算机USB口，单击【注册】按钮发送证书申请请求。

(14) 接下来，将会弹出一个密码框，要求用户输入智能卡的PIN吗，默认PIN码为“1111”，输完PIN码后，企业CA自动颁发的证书将被写入智能卡。

(15) 当证书申请成功以后，可打开屏幕右下角处的智能卡图标，检查其中的证书是否已经安装。

2) Web方式下不用代理直接颁发证书

在为用户颁发智能卡证书之前，复制【智能卡登录】模板，命名新模板名字，例如。“BYD智能卡登录 的副本”，并修改模板的安全选项，如下：

在此界面，给“Authenticated Users”添加【注册】权限。在控制面板中或mmc控制台中打开【证书颁发机构】管理单元，启用复制并修改过的“智能卡登录“模板。该计算机上安装智能卡驱动并插入空的智能卡。然后按照以下步骤为用户申请智能卡证书：

（1）访问企业CA的WEB申请页面：http://CAServer的IP/certsrv/dafault.asp，在弹出的对话框中，输入需要申请证书的用户名和用户口令

(2) 在欢迎页面中，单击【申请一个证书】链接。

(3) 在下一个页面中，单击【高级证书申请】链接

（4）在下一个页面中，单击【创建并向此CA提交一个申请】链接，出现如下界面：

(5) 在【证书模板】下拉列表框中，选择相应证书模板选项。

(6）在【CSP】下拉列表中选择一种加密服务提供程序，或保持默认CSP。我们选用”HaiTai Cryptographic Services Provider”.

(7) 【密钥大小】为“1024”，

(8) 把智能卡插入USB口，点击【提交】，将会弹出一个密码框，要求用户输入智能卡的PIN吗，默认PIN码为“1111”，输完PIN码后，企业CA自动颁发的证书。然后会转到如下页面：

（9）点击【安装此证书】，则把证书安装进智能卡中。

小结：证书服务器的配置顺序：

将证书服务器加入到的域中，然后安装IIS，并在证书服务器上配起来域控制器。然后添加证书服务，并安装CSP，修改注册表以获得更大的有效期限，然后根据您确定采用的证书颁发方式配置证书模板，最后为用户颁发智能卡证书。

更为详细的配制信息可参考《Windows安全应用策略和实施方案手册》(程迎春 编著 人民邮电出版社)。