關于域控制器和證書服務器分離的部署策略配置過程如下：一．域控制器的配置1．安裝DNS 服務器。首先，在服務器上安裝WIN 2003 企業(yè)版（如果不是企業(yè)版，則V2模板有些不能使用）。安裝好WIN 20

關于域控制器和證書服務器分離的部署策略

配置過程如下：

一．域控制器的配置

1．安裝DNS 服務器。首先，在服務器上安裝WIN 2003 企業(yè)版（如果不是企業(yè)版，則V2模板有些不能使用）。安裝好WIN 2003系統(tǒng)以后，點擊“配置你的服務器向導”，選擇“自定義配置”，點中 “DNS 服務器”，安裝DNS 服務器，根據(jù)提示可以很容易的自行安裝。在此不再贅述。

2．配置AD 。安裝好DNS 后，再點擊“配置你的服務器向導”，選擇“自定義配置“，點中“域控制器”，點擊“下一步“，等一下，會出現(xiàn)如下界面：

選擇“新域的域控制器“，點擊”下一步”，出現(xiàn)如下界面：

選擇“在新林中的域”，點擊“下一步”，出現(xiàn)如下界面

輸入新域的域名（例如“jobbyd.com ”，特別提示，一定要有后綴”.com ”且不能和計算機重名）。然后點擊“下一步”，其他頁面選擇默認或自行更改，出現(xiàn)輸入還原密碼頁面，如下：

輸入還原模式密碼，。點擊“下一步”，剩下的就是等win 自動安裝完成就 可以了。 然后安裝KEY 的CSP 程序

小結：域控制服務器的配制順序：先安裝DNS ，然后配置AD 。

二．證書服務器的配制

1．把另外一臺服務器安裝WIN2003 企業(yè)版，然后加入到按上述方法配制成的域中，即jobbyd.com 中。

2．安裝IIS 。點擊“配置你的服務器向導”，安裝IIS 服務器。以上兩步皆為常規(guī)配制，在此不再贅述。

3．安裝域控制器，點擊“配置你的服務器向導”，點中“域控制服務器”，當出現(xiàn)下圖時，

選擇“現(xiàn)有域的額外域控制器“，點擊”下一步“，出現(xiàn)如下界面：

輸入用戶名（例如，administrator ，該用戶必須是Domain admins組的成員），密碼，域名，點擊“下一步“，出現(xiàn)下圖：

輸入還原模式密碼，點擊“下一步“，對配置文檔的存放位置，可以是默認位置，或自行更改位置。然后一路默認設置，就可以了，WIN 會自動安裝完成域控制器

4． 添加證書服務。點擊“控制面板”－》“添加/刪除程序”－》“添加/刪除windows

組件”，點中“證書服務”，使其前面的方框中被打上勾，會出現(xiàn)如下一個對話框：

選擇“是”，點擊“下一步”，出現(xiàn)如下：

選擇“企業(yè)根CA ”，點擊“下一步”，如下圖：

輸入ca 的公用名稱，和有效年限，點擊“下一步“。其他一路默認，WIN 系統(tǒng)會自動完成安裝。

5．安裝KEY 的CSP 程序。

6．打開注冊表編輯器，找到并單擊下面的注冊表項：

HKEY_LOCAL_MACHINESystemCurrentControlSetServices?rtSvcConfiguration

在右窗格中，確認“V alidityPeriod ”項的值，其值可能為：Days 、Weeks 、Months 、和Y ears ，將“V alidityPeriodUnits ”項設為希望的數(shù)值，該數(shù)值為證書的有效期限（例如，鍵入“2”。）重新啟動計算機。

配置證書模板

在此步驟中，為了便于創(chuàng)建證書模板，首先介紹一下模板的有關概念。證書企業(yè)CA 所頒發(fā)的證書都是基于證書模板的，因此我們下面要定義一些證書模板，并設置證書的屬性，之后管理員需要啟動那些用戶需要申請的證書模板，這樣用戶才可申請這類的證書。

在MMC 管理器控制臺（在【開始】－【運行】鍵入‘MMC ’），點擊“文件”－“添加/刪除管理單元”，添加【證書模板】管理單元，可進行證書模板的管理和配置。

在【證書模板】窗口中，可以看到有些模板圖標為灰色，這是V1版本的模板，而圖標為綠色模板是V2版本的模板，這類模板屬性可以進行修改。雙擊任何一個證書模板，就可

以查看證書模板的詳細配置信息。

不同的模板其中含有的信息不盡相同，V1模板中的配置是不可更改的，但V2模板的配置可自定義，而且V2模板含有更多的屬性信息。Windows 2003 企業(yè)版的CA 支持V2版本模板，這類模板的信息是可以修改的。打開這類模板時，可以在可編輯的部分進行修改。V1模板的模板雖然不可直接修改，但是可以進行復制，創(chuàng)建一個新的V2模板，并編輯新建的V2模板。新建的模板的圖標將顯示為綠色。

復制并創(chuàng)建一個新的智能卡登錄模板的具體步驟如下：

（1）在【開始】－【運行】鍵入‘MMC ’，點擊“文件”－“添加/刪除管理單元”，在彈出的對話框中，點擊【添加】，添加【證書模板】管理單元，可進行證書模板的管理和配置。在【證書模板】管理單元中，右擊“智能卡登錄”模板，在彈出的快捷菜單中選擇【復制模板】命令，在打開的【新模板的屬性】對話框中，可以修改新建V2模板的名稱以及其他屬性。如圖：

可以修改模板的名稱，有效期限（實際頒發(fā)證書的有效期限是注冊表時間，模板規(guī)定有效時間，和上級頒發(fā)者時間三者中的最小值），和續(xù)訂期限，在【安全】標簽中可以指定模板用戶對模板的使用權限，還可以在【取代模板】標簽中指定要取代的模板，在【處理請求】標簽中指定密鑰長度和所使用的CSP 。修改完成之后。

啟用證書模板

在【證書頒發(fā)機構】管理單元中，展開CA 服務器名稱，找到并右擊【證書模板】容器，在彈出的菜單中點擊【新建】－【要頒發(fā)的證書模板】。在彈出的對話框中，選中要添加的模板，點擊【確定】。

證書頒發(fā)

Windows CA可頒發(fā)兩種智能卡證書：【智能卡用戶】和【智能卡登陸】?！局悄芸ǖ顷憽靠捎糜赪indows 登陸驗證，【智能卡用戶】用于Windows 登陸驗證和電子郵件保護。需要修改那些模板類型，具體應由證書頒發(fā)的方式來決定。請先瀏覽后面再決定復制哪些模板。智能卡證書一般是使用智能卡注冊代理的頒發(fā)辦法，對域管理員用戶（或用戶設定的其他有權限的工作組）也可以自行創(chuàng)建申請并頒發(fā)證書，該辦法同時適用于Windows 2000 和 Windows 2003 的CA 。下面中我們將對這兩種辦法分別進行介紹，并比較二者的優(yōu)缺點。 ● 使用智能卡注冊代理的頒發(fā)辦法的優(yōu)點是只要管理員登錄到有注冊代理權限的計算機上就可以為所有用戶頒發(fā)證書。在這種頒發(fā)方法中，用戶不能直接申請證書，而是由一些值得信賴的用戶在選定的計算機上為其他用戶代理頒發(fā)智能卡證書，然后將智能卡交給相應的用戶。這種智能卡的頒發(fā)過程是很安全的。發(fā)證書也非常方便，缺點是：此方法之支持【智能卡登錄】和【智能卡用戶】模板，不能應用于其他模板，即所發(fā)證書的有效期為1年。

● 用戶自行創(chuàng)建申請并頒發(fā)證書的方法的優(yōu)點是不需要注冊代理來頒發(fā)證書，需用自己申請證書，可以使用用戶有注冊權限的任何模板，證書的期限可以隨用戶自己設置。缺點是： 每個需要證書的用戶需用自己的賬號登錄來申請證書，如果管理員代為申請則效率可能會慢點。

鑒于證書有效期結束后，系統(tǒng)管理員需要為用戶重新頒發(fā)證書，并且使用智能卡注冊代理頒發(fā)的證書有效期皆為1年，建議使用用戶自行創(chuàng)建申請并頒發(fā)證書的方法。

1) WEB 方式下使用注冊代理為用戶頒發(fā)智能卡證書

用戶可以使用【智能卡登錄】證書模板，此外還需要選擇注冊代理的賬號和進行智能卡證書頒發(fā)操作的計算機，一般選擇域管理員為注冊代理用戶。分別配置注冊代理用戶和計算機對【注冊代理】和【注冊代理（計算機）】證書模板的注冊權限?？梢詤⒄障旅娴牟僮鳌?/p> ,

（1）在控制面板中或mmc 控制臺中打開【證書頒發(fā)機構】管理單元，啟用【注冊代理】、

【注冊代理（計算機）】、【智能卡登陸】、【智能卡用戶】4種證書模板。

（2）在【開始】－【運行】鍵入“MMC ”，啟動MMC 管理單元，在【文件】－【添加或刪除管理單元】，在打開的對話框中點擊【添加】，彈出如下對話框

在該對話框中選擇【證書】項，點擊【添加】－選擇【我的用戶賬號】－點擊【確定】，此時界面如下：

點擊【確定】，則MMC 管理平臺如下：