關(guān)于域控制器和證書服務(wù)器分離的部署策略配置過(guò)程如下：一．域控制器的配置1．安裝DNS 服務(wù)器。首先，在服務(wù)器上安裝WIN 2003 企業(yè)版（如果不是企業(yè)版，則V2模板有些不能使用）。安裝好WIN 20

關(guān)于域控制器和證書服務(wù)器分離的部署策略

配置過(guò)程如下：

一．域控制器的配置

1．安裝DNS 服務(wù)器。首先，在服務(wù)器上安裝WIN 2003 企業(yè)版（如果不是企業(yè)版，則V2模板有些不能使用）。安裝好WIN 2003系統(tǒng)以后，點(diǎn)擊“配置你的服務(wù)器向?qū)А?，選擇“自定義配置”，點(diǎn)中 “DNS 服務(wù)器”，安裝DNS 服務(wù)器，根據(jù)提示可以很容易的自行安裝。在此不再贅述。

2．配置AD 。安裝好DNS 后，再點(diǎn)擊“配置你的服務(wù)器向?qū)А?，選擇“自定義配置“，點(diǎn)中“域控制器”，點(diǎn)擊“下一步“，等一下，會(huì)出現(xiàn)如下界面：

選擇“新域的域控制器“，點(diǎn)擊”下一步”，出現(xiàn)如下界面：

選擇“在新林中的域”，點(diǎn)擊“下一步”，出現(xiàn)如下界面

輸入新域的域名（例如“jobbyd.com ”，特別提示，一定要有后綴”.com ”且不能和計(jì)算機(jī)重名）。然后點(diǎn)擊“下一步”，其他頁(yè)面選擇默認(rèn)或自行更改，出現(xiàn)輸入還原密碼頁(yè)面，如下：

輸入還原模式密碼，。點(diǎn)擊“下一步”，剩下的就是等win 自動(dòng)安裝完成就 可以了。 然后安裝KEY 的CSP 程序

小結(jié)：域控制服務(wù)器的配制順序：先安裝DNS ，然后配置AD 。

二．證書服務(wù)器的配制

1．把另外一臺(tái)服務(wù)器安裝WIN2003 企業(yè)版，然后加入到按上述方法配制成的域中，即jobbyd.com 中。

2．安裝IIS 。點(diǎn)擊“配置你的服務(wù)器向?qū)А?，安裝IIS 服務(wù)器。以上兩步皆為常規(guī)配制，在此不再贅述。

3．安裝域控制器，點(diǎn)擊“配置你的服務(wù)器向?qū)А保c(diǎn)中“域控制服務(wù)器”，當(dāng)出現(xiàn)下圖時(shí)，

選擇“現(xiàn)有域的額外域控制器“，點(diǎn)擊”下一步“，出現(xiàn)如下界面：

輸入用戶名（例如，administrator ，該用戶必須是Domain admins組的成員），密碼，域名，點(diǎn)擊“下一步“，出現(xiàn)下圖：

輸入還原模式密碼，點(diǎn)擊“下一步“，對(duì)配置文檔的存放位置，可以是默認(rèn)位置，或自行更改位置。然后一路默認(rèn)設(shè)置，就可以了，WIN 會(huì)自動(dòng)安裝完成域控制器

4． 添加證書服務(wù)。點(diǎn)擊“控制面板”－》“添加/刪除程序”－》“添加/刪除windows

組件”，點(diǎn)中“證書服務(wù)”，使其前面的方框中被打上勾，會(huì)出現(xiàn)如下一個(gè)對(duì)話框：

選擇“是”，點(diǎn)擊“下一步”，出現(xiàn)如下：

選擇“企業(yè)根CA ”，點(diǎn)擊“下一步”，如下圖：

輸入ca 的公用名稱，和有效年限，點(diǎn)擊“下一步“。其他一路默認(rèn)，WIN 系統(tǒng)會(huì)自動(dòng)完成安裝。

5．安裝KEY 的CSP 程序。

6．打開(kāi)注冊(cè)表編輯器，找到并單擊下面的注冊(cè)表項(xiàng)：

HKEY_LOCAL_MACHINESystemCurrentControlSetServices?rtSvcConfiguration

在右窗格中，確認(rèn)“V alidityPeriod ”項(xiàng)的值，其值可能為：Days 、Weeks 、Months 、和Y ears ，將“V alidityPeriodUnits ”項(xiàng)設(shè)為希望的數(shù)值，該數(shù)值為證書的有效期限（例如，鍵入“2”。）重新啟動(dòng)計(jì)算機(jī)。

配置證書模板

在此步驟中，為了便于創(chuàng)建證書模板，首先介紹一下模板的有關(guān)概念。證書企業(yè)CA 所頒發(fā)的證書都是基于證書模板的，因此我們下面要定義一些證書模板，并設(shè)置證書的屬性，之后管理員需要啟動(dòng)那些用戶需要申請(qǐng)的證書模板，這樣用戶才可申請(qǐng)這類的證書。

在MMC 管理器控制臺(tái)（在【開(kāi)始】－【運(yùn)行】鍵入‘MMC ’），點(diǎn)擊“文件”－“添加/刪除管理單元”，添加【證書模板】管理單元，可進(jìn)行證書模板的管理和配置。

在【證書模板】窗口中，可以看到有些模板圖標(biāo)為灰色，這是V1版本的模板，而圖標(biāo)為綠色模板是V2版本的模板，這類模板屬性可以進(jìn)行修改。雙擊任何一個(gè)證書模板，就可

以查看證書模板的詳細(xì)配置信息。

不同的模板其中含有的信息不盡相同，V1模板中的配置是不可更改的，但V2模板的配置可自定義，而且V2模板含有更多的屬性信息。Windows 2003 企業(yè)版的CA 支持V2版本模板，這類模板的信息是可以修改的。打開(kāi)這類模板時(shí)，可以在可編輯的部分進(jìn)行修改。V1模板的模板雖然不可直接修改，但是可以進(jìn)行復(fù)制，創(chuàng)建一個(gè)新的V2模板，并編輯新建的V2模板。新建的模板的圖標(biāo)將顯示為綠色。

復(fù)制并創(chuàng)建一個(gè)新的智能卡登錄模板的具體步驟如下：

（1）在【開(kāi)始】－【運(yùn)行】鍵入‘MMC ’，點(diǎn)擊“文件”－“添加/刪除管理單元”，在彈出的對(duì)話框中，點(diǎn)擊【添加】，添加【證書模板】管理單元，可進(jìn)行證書模板的管理和配置。在【證書模板】管理單元中，右擊“智能卡登錄”模板，在彈出的快捷菜單中選擇【復(fù)制模板】命令，在打開(kāi)的【新模板的屬性】對(duì)話框中，可以修改新建V2模板的名稱以及其他屬性。如圖：

可以修改模板的名稱，有效期限（實(shí)際頒發(fā)證書的有效期限是注冊(cè)表時(shí)間，模板規(guī)定有效時(shí)間，和上級(jí)頒發(fā)者時(shí)間三者中的最小值），和續(xù)訂期限，在【安全】標(biāo)簽中可以指定模板用戶對(duì)模板的使用權(quán)限，還可以在【取代模板】標(biāo)簽中指定要取代的模板，在【處理請(qǐng)求】標(biāo)簽中指定密鑰長(zhǎng)度和所使用的CSP 。修改完成之后。

啟用證書模板

在【證書頒發(fā)機(jī)構(gòu)】管理單元中，展開(kāi)CA 服務(wù)器名稱，找到并右擊【證書模板】容器，在彈出的菜單中點(diǎn)擊【新建】－【要頒發(fā)的證書模板】。在彈出的對(duì)話框中，選中要添加的模板，點(diǎn)擊【確定】。

證書頒發(fā)

Windows CA可頒發(fā)兩種智能卡證書：【智能卡用戶】和【智能卡登陸】?！局悄芸ǖ顷憽靠捎糜赪indows 登陸驗(yàn)證，【智能卡用戶】用于Windows 登陸驗(yàn)證和電子郵件保護(hù)。需要修改那些模板類型，具體應(yīng)由證書頒發(fā)的方式來(lái)決定。請(qǐng)先瀏覽后面再?zèng)Q定復(fù)制哪些模板。智能卡證書一般是使用智能卡注冊(cè)代理的頒發(fā)辦法，對(duì)域管理員用戶（或用戶設(shè)定的其他有權(quán)限的工作組）也可以自行創(chuàng)建申請(qǐng)并頒發(fā)證書，該辦法同時(shí)適用于Windows 2000 和 Windows 2003 的CA 。下面中我們將對(duì)這兩種辦法分別進(jìn)行介紹，并比較二者的優(yōu)缺點(diǎn)。 ● 使用智能卡注冊(cè)代理的頒發(fā)辦法的優(yōu)點(diǎn)是只要管理員登錄到有注冊(cè)代理權(quán)限的計(jì)算機(jī)上就可以為所有用戶頒發(fā)證書。在這種頒發(fā)方法中，用戶不能直接申請(qǐng)證書，而是由一些值得信賴的用戶在選定的計(jì)算機(jī)上為其他用戶代理頒發(fā)智能卡證書，然后將智能卡交給相應(yīng)的用戶。這種智能卡的頒發(fā)過(guò)程是很安全的。發(fā)證書也非常方便，缺點(diǎn)是：此方法之支持【智能卡登錄】和【智能卡用戶】模板，不能應(yīng)用于其他模板，即所發(fā)證書的有效期為1年。

● 用戶自行創(chuàng)建申請(qǐng)并頒發(fā)證書的方法的優(yōu)點(diǎn)是不需要注冊(cè)代理來(lái)頒發(fā)證書，需用自己申請(qǐng)證書，可以使用用戶有注冊(cè)權(quán)限的任何模板，證書的期限可以隨用戶自己設(shè)置。缺點(diǎn)是： 每個(gè)需要證書的用戶需用自己的賬號(hào)登錄來(lái)申請(qǐng)證書，如果管理員代為申請(qǐng)則效率可能會(huì)慢點(diǎn)。

鑒于證書有效期結(jié)束后，系統(tǒng)管理員需要為用戶重新頒發(fā)證書，并且使用智能卡注冊(cè)代理頒發(fā)的證書有效期皆為1年，建議使用用戶自行創(chuàng)建申請(qǐng)并頒發(fā)證書的方法。

1) WEB 方式下使用注冊(cè)代理為用戶頒發(fā)智能卡證書

用戶可以使用【智能卡登錄】證書模板，此外還需要選擇注冊(cè)代理的賬號(hào)和進(jìn)行智能卡證書頒發(fā)操作的計(jì)算機(jī)，一般選擇域管理員為注冊(cè)代理用戶。分別配置注冊(cè)代理用戶和計(jì)算機(jī)對(duì)【注冊(cè)代理】和【注冊(cè)代理（計(jì)算機(jī)）】證書模板的注冊(cè)權(quán)限?？梢詤⒄障旅娴牟僮?。

（1）在控制面板中或mmc 控制臺(tái)中打開(kāi)【證書頒發(fā)機(jī)構(gòu)】管理單元，啟用【注冊(cè)代理】、

【注冊(cè)代理（計(jì)算機(jī)）】、【智能卡登陸】、【智能卡用戶】4種證書模板。

（2）在【開(kāi)始】－【運(yùn)行】鍵入“MMC ”，啟動(dòng)MMC 管理單元，在【文件】－【添加或刪除管理單元】，在打開(kāi)的對(duì)話框中點(diǎn)擊【添加】，彈出如下對(duì)話框

在該對(duì)話框中選擇【證書】項(xiàng)，點(diǎn)擊【添加】－選擇【我的用戶賬號(hào)】－點(diǎn)擊【確定】，此時(shí)界面如下：

點(diǎn)擊【確定】，則MMC 管理平臺(tái)如下：