CA部署方案

证书颁发机构设计方案（根CA+企业从属CA）一：根CA的部署安装前的准备（1）卸载“证书更新”组件（2）安装“证书服务”组件，如果在详细信息里选择了“证书服务WEB注册支持”，则需要安装IIS服务（3）如果是安装企业根CA，先确保是在域环境且在DC上进行操作（4）如果是安装独立根CA，安装操作可在域环境也可在工作组环境安装过程（1）将操作系统安装光盘放入光驱（2）在安装组件中选择去掉“证书更新”组件，选中“证书服务”组件，单击下一步（3）选择企业根CA，（或者独立根CA），选中用自定义设置生成密钥对和CA证书，单击下一步（4）在公钥/私钥对话框单击下一步（5）在CA识别信息对话框中输入CA的名称，单击下一步（6）在证书数据库设置对话框中选择数据库位置（可默认）单击下一步（7）在完成向导中单击完成二：子CA的部署脱机申请CA证书（用.req文件申请）（1）在添加删除WINDOWS组件里取消“证书更新”组件。选择“证书服务组件”单击下一步（2）选择企业从属CA，选中用自定义设置生成密钥对和CA证书，单击下一步（3）在公钥/私钥对对话框用默认设置单击下一步（4）在CA识别信息对话框输入此CA的名称单击下一步（5）在证书数据库设置对话狂用默认设置单击下一步（6）在“证书申请”对话框选择“将申请保存到一个文件”选择一个保存路径单击下一步（7）将生成的.req文件拷到根CA（8）在根CA上用WEB浏览器申请CA证书（http://根CA主机名/certsrv-----申请证书---高级证书申请----用BASE64编码.....--------在保存的申请中粘贴.req文件内容，在证书模板选择从属证书颁发机构，单击提交）（9）在根CA上用WEB浏览器下载证书链（http://根CA主机名/certsrv----查看挂起的证书申请-----下载证书链）（10）将下载的证书链拷贝到子CA，用MMC管理单元安装此证书链（11）在子CA证书颁发机构管理单元启动服务联机申请CA证书（1）在添加删除WINDOWS组件里取消“证书更新”组件。选择“证书服务组件”单击下一步（2）选择企业从属CA，选中用自定义设置生成密钥对和CA证书，单击下一步（3）在公钥/私钥对对话框用默认设置单击下一步（4）在CA识别信息对话框输入此CA的名称单击下一步（5）在证书数据库设置对话狂用默认设置单击下一步（6）在CA证书申请对话框选择将申请直接发送到网络上的CA，点击浏览选择根CA，单击下一步（7）在完成安装向导中选择完成（如果在根CA上选择了自动颁发证书设置，则子CA的安装完全结束）（8）打开证书颁发机构管理单元，在CA名称上右键单击所有任务---启动服务（9）在弹出的对话框中选择是，在弹出的对话框中选择取消（10）在根CA上颁发证书（11）打开证书颁发机构管理单元，在CA名称上右键单击所有任务---启动服务（12）完成