本分步指南介紹了如何在 Windows 2000 中安裝和卸載“公鑰證書頒發機構”。 在 Windows 2000 中，“證書頒發機構”(CA) 服務頒發運行公鑰結構所需的證書。該 CA 可以是外部的專用 CA，也可以是由某個公司運行的 CA。這些證書使用戶能夠使用智能卡登錄、發送加密郵件、簽署文檔，等等。 通 常，如果您要向公司內部或 Windows 2000 域中的用戶或計算機頒發證書，則應該安裝企業 CA。如果您要向組織或公司外部的用戶或計算機頒發證書，則應該安裝獨立 CA。企業 CA 要求申請證書的所有用戶在 Active Directory 中都有條目，而獨立 CA 無此要求。企業 CA 可以頒發用于登錄到 Windows 2000 域的證書，而獨立 CA 無法頒發此類證書。您可以同時使用這兩類 CA 來滿足企業需求。 “證書頒發機構”的設置與安裝 開始之前 1. 單擊 開始 ，依次指向 程序 、 管理工具 ，然后單擊“ Active Directory 用戶和計算機 ”。 2. 確保您能夠看到和管理 Active Directory。如果沒有目錄，請按照 Active Directory 和 DNS 指南中的步驟操作。 3. 您的帳戶一定要在“Domain Admins”組中。安裝“證書頒發機構”的用戶必須是管理員。 4. 為了安裝“證書服務”Web 注冊頁，必須安裝 Microsoft Internet Information Server (IIS)。 設置 CA 1. 單擊 開始 ，指向 設置 ，然后單擊 控制面板。 2. 雙擊 添加/刪除程序 。 3. 單擊 添加/刪除 Windows 組件 。 4. 單擊 下一步。 5. 單擊 證書服務 復選框，將其選中，然后單擊 下一步 。 6. 單擊相應的 CA 類型。可用選項右側顯示每個頒發機構的說明。 7. 如果要更改默認密碼設置，請單擊“ 高級選項 ”復選框，將其選中。只有在您知道的確需要這么做時，才選中此復選框。 8. 單擊 下一步 。 9. 如果選中了“ 高級選項 ”復選框，系統將提示您更改“公鑰和私鑰對”選項。如果未選中“ 高級選項 ”復選框，則繼續執行下一步。 10. A 顯示證書頒發機構標識信息 窗口。填入相應的站點和組織信息。請注意，CA 信息非常重要，因為要用它來標識所創建的 CA 對象。完成后單擊 下一步 。 11. 系統會提示您定義證書數據庫的位置、配置信息和“證書吊銷列表”(CRL)。企業 CA 始終將其信息（包括 CRL）存儲在 Active Directory 中。Microsoft 建議您選中 共享文件夾 復選框。這樣就指定了存儲 CA 配置信息的文件夾位置。所有 CA 配置信息都應該存儲在一個文件夾中。 12. 單擊 下一步 。 13. 如果 IIS 處于運行狀態，請將其關閉。單擊 確定 以停止 IIS。安裝 Web 組件之前必須先停止 IIS。如果沒有安裝 IIS，則繼續執行下一步。 14. 安裝次級 CA 時，您需要：單擊 瀏覽 ，找到聯機 CA，或者，如果您的請求是定向到專用 CA 或無法從網絡訪問的 CA，則需要單擊“ 將申請保存到一個文件 ”。 15. 等待安裝完成。 16. 單擊 完成 。 驗證“證書服務器”安裝 要驗證安裝，您可以使用以下任一方法： • 在命令提示下鍵入 net start ，確認“證書”服務正在運行。 • 申請證書，方法是單擊 開始 ，指向 運行 ，鍵入 mmc ，單擊 確定 ，在 控制臺 菜單上單擊“ 添加/刪除管理單元 ”，添加 證書 管理單元，單擊要管理的 我的用戶帳戶 ，右鍵單擊 個人 文件夾，單擊 所有任務 ，然后單擊“ 申請新證書 ”。“證書申請向導”應該啟動。 • 對于獨立 CA，您可以使用 Internet Explorer 5 連接到“http:// 服務器名 /CertSrv”（其中 服務器名 是服務器的名稱），以此來申請新證書。 卸載“證書服務器” 1. 單擊 開始 ，指向 設置 ，然后單擊 控制面板。 2. 雙擊 添加/刪除程序 。 3. 單擊 添加/刪除 Windows 組件 。 4. 單擊 下一步。 5. 單擊 證書服務 復選框，將其清除，然后單擊 下一步 。 6. 單擊 完成 。