很多人都沒有意識到，但是，Windows Server 2003擁有你建立認證授權(certificate authority)所需要的一切功能。你可以利用這個功能完成簽名、加密電子郵件信息、識別IPSec進程或者為網站提供SSL加密等許多工作。在本講座中，我將向你們演示如何在你的機構中應用認證授權。
　　
　　安裝互聯網信息服務(IIS)
　　
　　在你開始安裝認證授權之前，你必須安裝IIS。認證授權依賴于IIS及其處理ASP代碼的能力。Windows將允許你在沒有首先安裝IIS的情況下安裝認證授權。但是，如果你這樣做的話，認證授權將不能使用。
　　
　　要安裝IIS，在控制面板中選擇添加/刪除程序選項。當添加/刪除程序的程序啟動的時候，用鼠標點擊添加/刪除Windows組件按鈕。你將看到一個 Windows組件列表。從列表中選擇應用服務器選項，然后用鼠標點擊“細節”按鈕。你將看到一個IIS對話框，然后點擊“細節”。你將看到所有缺省的 IIS組件都被選擇進行安裝。然而，認證授權需要IIS處理ASP代碼而ASP不是缺省安裝的。
　　
　　要支持ASP，從列表中選擇萬維網(World Wide Web)服務，點擊“細節”按鈕。選擇主動服務頁對話框，然后點擊“確認”。點擊“確認”兩次以關閉剩余的對話框，然后點擊“下一步”。Windows現在開始安裝IIS。你也可以插入安裝CD盤;如果這樣的話，你的CD盤要放在旁邊，因為你可能再次需要這個光盤。點擊“完成”結束安裝過程。
　　
　　安裝證書服務
　　
　　在我向你們演示安裝程序之前，我要指出，安裝證書服務是一種半永久的操作。一旦證書服務安裝結束，你將不允許重新命名這臺服務器或者從當前的域名刪除這項服務，除非你首先卸載證書服務。
　　
　　要開始安裝，選擇在控制面板中選擇添加/刪除程序選項。當添加/刪除程序的程序啟動的時候，用鼠標點擊添加/刪除Windows組件按鈕。你將看到一個 Windows組件列表。從列表中選擇證書服務選項，然后用鼠標點擊“細節”按鈕。你將看到證書服務有兩個組件:認證授權和網絡注冊支持。選擇這兩個對話框。你將看到一個警告信息，警告你在安裝之后將不能重新命名服務器或者改變域名。點擊“是”確認這個信息。然后點擊“確認”和“下一步”。
　　
　　這時候，屏幕上會顯示信息，詢問你要安裝哪一類認證授權。本文中，選擇單機“Root CA”，然后選擇“下一步”。
　　
　　你現在必須為你正在創建的認證授權輸入一個普通的名字。你可以叫任何你喜歡的名字，但是，由于你選擇的名字將用來在活動目錄中查找這臺服務器，這個名字要容易識別。確認這個證書的有效期符合企業的安全策略，然后點擊“下一步”。
　　
　　屏幕上會顯示信息，讓你確定用來存儲證書的數據庫和數據庫日志的位置。最好使用缺省的設置。無論選擇什么路徑，都要確保證書數據庫和數據庫日志存儲在安全的位置，并且要定期進行備份。
　　
　　點擊“下一步”，你將看到一個信息，指出IIS服務必須立即停止。點擊“確認”。這個安裝程序現在就從你的Windows安裝CD盤中復制必要的文件。在復制過程完成之后，點擊“結束”。
　　
　　申請一個證書
　　
　　現在，認證授權安裝完畢并且開始運行了。讓我們看一下如何申請一個證書。正如你可能想到的那樣，認證授權的界面是基于網絡的界面。要訪問這個界面，登錄一個工作站，然后打開瀏覽器。輸入HTTP://，然后是服務器的IP地址和名稱(certserv)。這個URL看起來像是這樣的:http: //192.168.0.1/certserv。
　　
　　假設你一切都正確執行了，這個證書服務網頁就會出現。如果不正確，可能就是 IIS沒有在安裝證書服務之前安裝。如果IIS安裝了，可能是因為它沒有正確的虛擬文件夾。要強制IIS指定一個必要的虛擬文件夾，打開服務器上的 “Command Prompt”窗口，輸入下面的指令“CERTUTIL-VROOT”。
　　
　　我推測，這個網頁已經正常顯示了。點擊“申請一個證書”的鏈接。這個網頁向你提示幾個不同的選項。你可以申請一個網頁瀏覽器證書或者一個電子郵件保護證書。還有一個高級證書申請鏈接。你可以使用這個鏈接申請其它類型的證書，如服務器證書。
　　
　　為了演示一下這個過程，點擊網絡瀏覽器證書鏈接。你將看到一個提示，這個提示要求你提供姓名、電子郵件地址、公司名稱、部門和地理位置等基本信息。填寫這些信息，然后點擊“申請”按鈕。
　　
　　假設你的互聯網瀏覽器安裝了最新的安全補丁，你將看到一個信息提示稱這個網站在代表你申請一個證書。點擊“是”，你將看到一個信息提示說這個申請已經在處理之中，你可以在第二天取回你的證書。還有一個信息提示你必須在10天之內取回證書。
　　
　　批準一個證書
　　
　　顯示這個信息的原因是因為你的認證授權沒有自動頒發證書。你可以自動頒發證書，但是，那并不能確保良好的安全。你可以隨機向任何知道你的認證授權URL地址的人發放證書。
　　
　　要手工批準證書的請求，回到證書服務器并且從管理工具菜單中選擇認證授權指令。當認證授權操作臺打開時，通過這個操作臺的目錄樹查找認證授權(本地)| 你的服務器|待批準的申請。你現在應該看到證書申請。用鼠標右鍵點擊這個申請，選擇全部任務|從快捷菜單發布指令(你也可以使用全部任務|拒絕選項)。這個證書申請現在轉移到這個工作臺的“已發放證書”容器。
　　
　　取回證書
　　
　　現在，證書已經發放了，送到你的工作站，并且返回到認證授權網頁。這時候，點擊查看待批準證書申請狀態的鏈接。你將看到你早些時候提出的申請。點擊這個申請，你將看到你用來安裝這個證書的一個鏈接。

關鍵字：Server 、服務器、認證授權