安装独立的根CA服务
安装独立的根CA服务
- 以管理员身份登录系统,如果有AD目录服务的话,使用与管理员登录系统。
- 点击"开始",打开"控制面板"。
- 双击"添加或删除程序",并点击"添加\删除Windows组件"。
- 在Windows部件向导里面,选择"证书服务"。这时会出现一个对话框提示:"安装证书服务后,计算机名和域成员身份都不能更改,因为计算机名到 CA 信息的绑定存储在 Active Directory 中。更改计算机名或域成员身份将使此 CA 颁发的证书无效。在安装证书服务前请确认配置了正确的计算机名和域成员身份。您想继续吗?"。点击"是",并点击"下一步"。
- 选择"独立根CA"。
- (可选)选择"用自定义设置生成密钥对和CA证书",点击"下一步"指定下面的内容:
设置 |
操作 |
CSP, 密码服务提供人(Cryptographic Service Provider) |
在CSP里面选择想使用的密码服务提供人。默认的CSP是Microsoft Strong Cryptographic Provider。证书服务支持第三方的CSP,但是必须参考CSP服务商的关于在证书服务中使用他们的CSP的信息文档。 |
散列算法, Hash algorithm |
在散列算法中,点击选择项使用的散列算法。默认是SHA-1。 |
使用现有的密钥, Use an existing key |
选择"使用现有的密钥",点击"导入",然后在"打开PFX文件"中写入公私密钥对文件的名字和密码。这可以帮助你在重新部署的时候恢复以前安装的CA。但是使用存在的密钥时,仍然会生成新的证书。 提示
|
密钥长度, Key length |
在"密钥长度",敲入或者选择一个密钥长度。默认使用Microsoft Strong Cryptographic Provider的密钥长度为2048位。其他CSP的默认密钥长度是不一样的。一般来讲,密钥长度越长越安全。同样,越长的密码长度在签名、加密和验证的时候需要更多的系统资源。做为根CA,你需要使用至少2048位的密钥长度。这个选项对于现有的密钥不可用。 |
允许此CSP与桌面交互, Allow this CSP to interact with the Desktop |
选择"允许此CSP与桌面交互"。如果不选择这项,系统服务将不能于当前登录用户桌面交互。 |
导入, Import |
点击"导入"。这个将导入一个现有的PKCS #12 PFX格式的密钥。 |
查看证书, View certificate |
点击"查看证书",这将允许你常看安装过程中生成或者选择的证书。 |
如果配置完成,点击"下一步"。
- 输入一个CA的公用名称。在CA设置完成以后可以修改这个信息。
- 在"有效期限",指定根CA的有效性期限。考虑这个设置的时候,可以参考下面的注释。点击"下一步"。
- 指定证书数据库、证书数据库日志和共享文件夹的存储位置。点击"下一步"。
- 如果IIS正在运行,你将受到一个安全前停止服务的请求。点击"是"。
- 如果有提示,输入证书服务安装文件的位置。
注意:
- 要打开控制面板内的条目,点击"开始",点击"控制面板",双击适当的图标。
- 如果AD可用,并且你有写AD的权限,那么指定共享文件夹是可选的。
- 如果IIS的ASP功能没有被激活,将会被提示激活ASP。CA的Web接口需要ASP可用。
- 有效期限决定CA的终止时间。更新CA的信息,请参考相应的主题。
近期评论