如果你需要在組織里發(fā)布exchange，或者需要給IIS配置SSL的訪問方式,，則需要部署CA,，關(guān)于CA的應(yīng)用，后續(xù)會有幾篇文章來專門敘述,，本文僅僅介紹CA證書頒發(fā)機(jī)構(gòu)的安裝,，這也是SSL應(yīng)用的基礎(chǔ)工作。

通過閱讀本文,，你將了解到以下內(nèi)容

◆什么是CA及CA的作用
◆安裝CA的準(zhǔn)備條件
◆如何CA安裝
◆何為根證書


       在安裝CA前,，我們需要了解什么是CA。字面上理解,，CA即Certificate Authority ,，也就是證書授權(quán)中心，對于這6個字,，如何理解,？來幫大家逐字分析一下：
中心：可以得知首先它是一個集中化的管理某種東西的一個系統(tǒng)或者說是一個平臺
授權(quán)：可以理解為，如果需要得到某種東西,、或者實現(xiàn)某些目的需要通過這個中心進(jìn)行認(rèn)證,，獲得許可以后才可以繼續(xù)操作。
證書：證書的最大作用就是通過某種東西來證明某種東西的合法性和存在性,。

       總結(jié)一下,，為了實現(xiàn)證明及安全的目的,，我們建立了一套系統(tǒng)或者平臺，它可以用來證明某些事物的合法性和真實存在性,，并且為此提供足夠強(qiáng)的保護(hù),，從而來抵御外界的攻擊。這就是證書認(rèn)證系統(tǒng)或者證書授權(quán)中心,。概念似乎很抽象，不過后面會講到更多的應(yīng)用,，當(dāng)你理解這些應(yīng)用后,，再回過頭來看這段話就會覺得很好理解。
我們開始吧,，首先介紹一下CA安裝的基礎(chǔ)環(huán)境,。

基礎(chǔ)環(huán)境：
1、服務(wù)器版本操作系統(tǒng),，2000ser或2003 ser ,2008 ser等
2,、安裝CA前，請先安裝好IIS,。


一,、安裝CA
1、首先打開添加與刪除程序,，找到添加與刪除組件,，找到證書服務(wù)

當(dāng)我們選中證書服務(wù)的時候，系統(tǒng)會彈出一個提示：

大致意思是由于安裝CA后會將計算機(jī)名綁定到CA是并會存儲在活動目錄中,，所以裝完CA后無法修改計算機(jī)名稱,，我們這里點擊YES繼續(xù)，

這里有4種CA類型可供選擇,。
有2大類,，企業(yè)根CA和獨立根CA，各自又有一個從屬的CA,。從屬CA是為上級CA授權(quán)給下級CA機(jī)構(gòu)來頒發(fā)證書準(zhǔn)備的,，就范圍和功能性而言，企業(yè)CA較獨立CA更廣,，更強(qiáng)大,。比如獨立CA無法使用證書模板，而企業(yè)CA可以,。還有一點就是一個網(wǎng)絡(luò)上首個安裝的CA必須為根CA,，若是企業(yè)根CA則必須有域環(huán)境，這里我們就選擇第一個,，并點擊【Next】

在這個界面中,，我們需要注意兩個地方,，
1、common name for this ca
這里的名稱其實和之后要申請的公共名稱沒有太大關(guān)聯(lián),，我們可以自己命名,，因為這個只是給我們要安裝的CA起的一個可識別的名稱而已，沒有實際含義,。所以這里
我寫的是ca01,，請大家不要和申請SSL或者發(fā)布OWA時所輸入的公共名稱相混淆。
2,、Validity period
這個是安裝的CA機(jī)構(gòu)可正常運(yùn)行的期限,，即自安裝日起5年內(nèi)可以正常處理各種類型的證書的申請請求。當(dāng)然你也可以手動更改,，在右側(cè)會出現(xiàn)相應(yīng)的過期日期,。
輸入根CA的名稱后，點擊【Next】,，經(jīng)過一個很簡短的過程之后,，出現(xiàn)以下圖示：

我們可以設(shè)置CA證書的數(shù)據(jù)庫以及日志的存放路徑，一般默認(rèn)即可,，點擊【Next】繼續(xù),，此時會彈出一個提示窗口，如下圖示：

意思是,，要完成CA的安裝,，需要臨時停止IIS服務(wù)器，由于我這里IIS上沒有運(yùn)行web,，所以可以直接點YES,，這點請留意。
確定后,，就開始自動安裝CA組件了,。
安裝過程中，如果你沒有事先啟用IIS6里的ASP的話,，就會出現(xiàn)下面的提示,，此時只需確定即可。

經(jīng)過大概1,、2分鐘的安裝過程后,，CA組件順序安裝完畢。

點擊Finish完成整個過程,。

二,、查看CA
CA已安裝，但在哪里查看呢？別急,，我們可以通過2個辦法來實現(xiàn)
1,、可以依次點擊 開始/程序/管理工具/Certification Authority
2、也可以在命令窗口內(nèi)輸入certsrv.msc,確定后直接打開CA
2種方法效果都是一樣的,，我們選用第二種方法,。
下面是打開的主界面：


這里我們可以看到ca01這個名稱，熟悉嗎,？ 對了,，這就是我們在申請CA的時候輸入的CA機(jī)構(gòu)的名稱，請記住,，這僅僅是一個名稱,，對以后申請各類應(yīng)用型的證書沒有任何影響。
下面5個文件夾分別是【吊銷的證書】,、【已頒發(fā)的證書】、【掛起的請求】,、【失敗的請求】,、【證書模板】，這里不做細(xì)述,，以后用到的時候再講,，其實很簡單。

     在這里我想和大家討論的一個概念,，就是“根證書”,。其實當(dāng)我們把CA機(jī)構(gòu)創(chuàng)建完畢后，它的基本功能就是它將為其他應(yīng)用程序或者服務(wù)器等頒發(fā)及管理證書,，在安裝完畢后,，它會給自己頒發(fā)一個證書，也就是root certificate 根證書,，而且是自己信任自己的,，那在哪里查看呢？,？,？
右鍵ca01，選擇【屬性】,，如下圖：

我們可以很清晰的看到有一個certificate #0的證書,，這就是ca01這個CA頒發(fā)機(jī)構(gòu)的根證書。點擊右下角的View Certificate ,，可以查看根證書的詳細(xì)屬性,。
【常規(guī)】選項卡，這里可以看到很簡要的信息，比如頒發(fā)者ca01,，頒發(fā)給ca01,，也就是自己給自己頒發(fā)，很簡單,，它是根CA,，也是該網(wǎng)絡(luò)里的第一臺CA證書服務(wù)器，只能自己給自己頒發(fā)一個根證書,，為什么要這么做呢,？
原因有兩點：
1、它是最高級別的CA  
2,、為后面申請的CA證書提供認(rèn)證,。

【詳細(xì)信息】選項卡，這里不但可以查看證書的一些基本信息,，包括證書版本,，生效日期，以及失效日期,，還有算法及加密信息等,。
右下角有一個 copy to file，我們可以利用這個選項將根證書導(dǎo)出為3種不同的格式,，我會在后面的教程中說到,。

【證書路徑】選項卡，這里顯示的是證書體系的邏輯結(jié)構(gòu),，因為我現(xiàn)在只有根證書,，所以也只能看到自己了。




OK,，關(guān)于CA安裝的圖文詳解先寫到這里,，后面還會有相關(guān)的文章，盡請期待,！