Windows server 2003 CA配置(一)

CA:Certificate Authority,認證權威機構,也稱為憑證授權單位或認證中心)是PKI中受信任的第三方實體.負責憑證發行、吊銷、更新和續訂等認證管理工作和CRL發布和事件記錄記錄等幾項重要的任務。首先，主體發出認證申請，通常情況下，主體將產生金鑰組，有時也可能由CA完成這一功能，然後主體將包含其公開金鑰的認證申請提交給CA，等待年批准。CA在收到主體發來的認證申請後，必須核實申請者的身份，一旦核實，CA就可以接受該申請，對申請進行簽名，產生一個有效認證，最後，CA將分發認證，以便申請者可使用該認證。CRL：是被CA撤銷憑證的列表。

基於WINDOWS的CA支援4種類型

企業根CA：它是憑證階層中的最進階CA，企業根CA需要AD。企業根CA自行簽發自己的CA認證，並使用組策略將該認證發布到域中的所有伺服器和工作站的可信任的根憑證授權單位的儲存區中，通常，企業CA不直為使用者和機器憑證提供資源，但是它是憑證階層的基礎。

企業從屬CA：企業從屬CA必須從另一CA（父CA）獲得它的CA認證，企業從屬CA需要AD，當希望使用AD，憑證範本和智慧卡登入到運行WINDOWS XP和WIN2003的電腦時，應使用企業從屬CA

獨立根目錄CA：獨立根目錄CA是憑證階層中的最進階CA。獨立根目錄CA既可以是域的成員也可以不是，因此它不需要AD，但是，如果存在AD用於發布認證和憑證撤銷清單，則會使用AD，由於獨立根目錄CA不需要AD，因此可以很容易地將它眾網路上斷開共置於安全的地區，這在建立安全的離線根CA時非常有用。

獨立從屬CA：獨立從屬CA必須從另一CA（父CA）獲得它的CA認證，獨立從屬CA可以是域的成員也可以不是，因此它不需要AD，但是，如果存在AD用於發布和憑證撤銷清單，則會使用AD。

下面來部署CA

一台是獨立根目錄CA,一台是獨立從屬CA

安裝獨立根目錄CA

選中應用程式伺服器和認證服務.