4.1 实战：在域环境安装和配置企业CA

本节目标：

ü 安装企业CA

ü 为域中的计算机安装pop3和SMTP服务

ü 在域中创建用户zhang 电子邮箱地址为zhang@ess.com

ü 在域中创建用户wang电子邮箱地址为wang@ess.com

ü 掌握批量设置域用户电子邮件地址

ü 掌握域用户申请证书的方法

实验环境：

ü DCServer 安装了Windows Server 2008企业版，是ess.com域的域控制器，同时也是DNS服务器和企业证书颁发机构。

ü MialServer安装Windows Server 2003企业版，安装pop3服务和SMTP服务。

ü ZhangPC安装了Vista的企业版，是ess.com域的成员计算机。

ü WangPC安装了Vista的企业版，是ess.com域的成员计算机。

4.1.1 在DCServer上安装企业根CA

任务：

ü 在域控制器上安装企业CA

步骤：

1. 在域控制器DCServer上，打开服务器管理工具，点击“添加角色”。

2. 在出现的开始之前对话框，点击“下一步”。

3. 在选择服务器角色对话框，选中“Active Directory证书服务”，点击“下一步”。

4. 在出现的Active Directory证书服务简介对话框，点击“下一步”。

5. 在出现的选择角色服务对话框，选中“证书颁发机构”，选中“证书颁发机构Web注册”，在出现的对话框，点击“添加必须的角色服务”。

6. 选中“联机响应程序”，点击“下一步”。

7. 在出现的指定安装类型对话框，选择“企业”，点击“下一步”。

8. 在指定CA类型对话框，选择“根”，点击“下一步”。

9. 在设置私钥对话框，选择“新建私钥”，点击“下一步”。

10. 在为CA配置加密对话框，保持默认设置，点击“下一步”。

11. 在配置CA名称对话框，输入CA的公用名称，点击“下一步”。

12. 在设置有效期对话框，保持默认5年，点击“下一步”。

13. 在配置数据库路径对话框，点击“下一步”。

14. 在Web服务器（IIS）对话框，点击“下一步”。

15. 在选择角色服务对话框，保持默认选项，点击“下一步”。

16. 在确认安装选择对话框，点击“下一步”。

17. 在安装结果对话框，点击“关闭”。完成企业证书服务的安装。

4.1.2 在DCServer创建两个域用户并设置邮箱地址

任务：

ü 在活动目录中创建两个域用户

ü 批量设置电子邮箱地址

步骤：

1. 在DCServer上，以管理员登录。

2. 点击“开始”à“运行”，输入dsa.msc，打开活动目录管理工具。

3. 右击“研发部”组织单元，点击“新建”à“用户”。

4. 在出现新建对象-用户对话框，输入姓名和登录名，点击“下一步”。

5. 在出现的新建对象-用户对话框，输入密码，取消“用户下次登录时更改密码”选项，点击“下一步”。

6. 在出现的新建对象-用户对话框，点击“完成”。

7. 依照上面步骤，创建“王五”用户，选中张三和王五两个用户，点击“属性”。

8. 在出现的多个项目属性对话框的常规标签下，选中“电子邮件输入%username%@ess.com，点击“确定，注意%username%是参数，会自动的使用用户名替代。

9. 右击“王五”帐户，点击“属性”，在王五属性对话框的常规标签下可以看到电子邮件地址已经变成了wang@ess.com。

4.1.3 在MailServer上配置创建域和邮箱

任务：

ü 将计算机加入域后安装pop3服务和SMTP服务

ü 配置pop3服务创建域和邮箱

步骤：

1. 以域管理身份登录到MailServer。

2. 点击“开始”à“程序”à“管理工具”à“pop3服务”，打开pop3服务管理工具。

3. 点击“新域”，在出现的添加域对话框，输入域名ess.com，点击“确定”。

4. 点中ess.com域，点击“添加邮箱”，在出现的添加邮箱对话，在邮箱名输入wang，如果选择“为此邮箱创建关联的用户”，输入密码，点击“确定”。提示用户已经存在。点击“确定”。说明在这里创建的用户是域中的用户。

5. 去掉“为此邮箱创建相关联的用户”选择，点击“确定”。

6. 以同样的方法zhang邮箱。

4.1.4 域用户zhang在zhangPC上申请用户证书

任务：

ü 确认域用户自动信任企业根证书颁发机构

ü 掌握域用户申请向企业CA申请证书的步骤

ü 示例：域用户zhang在zhangPC上申请用户证书并配置Windows Mail使用证书

步骤：

1. 在zhangPC上，以域用户zhang登录到zhangPC。

2. 点击“开始”à“运行”，输入“MMC”，点击“确定”。打开微软管理控制台。

3. 点击“文件”à“添加/删除管理单元”。

4. 在出现的添加/删除管理单元对话框，点中“证书”，点击“添加”，点击“确定”。

5. 点击“受信任的根证书颁发机构”下的“证书”，可以看到企业根CA的正书已经自动的添加到受信任的证书颁发机构中了。

6. 右击“个人”，点击“所有任务”à“申请新证书”。

7. 在出现的在开始之前对话框，点击“下一步”。

8. 在出现的申请证书对话框，选中“用户”，点击“详细信息”，可以看到“用户”证书的可以用来“加密文件系统”、“安全电子邮件”和“客户端身份验证”，点击“注册”。

9. 在出现的证书安装结果对话框，显示成功，点击“完成”。

10. 点击“个人”à“证书”，可以看到张三申请的证书。双击该证书。

11. 在出现的证书对话框的详细信息标签下，点击“使用者”，可以看到该数字证书绑定的电子邮件zhang@ess.com。这要求用户在申请证书前，域用户的属性已经设置了电子邮件地址。

12. 在证书路径标签下，可以看到该证书的颁发者是企业根CA。

13. 点击“开始”à“程序”à“Windows Mail”。

14. 在出现的您的姓名对话框，输入显示名称“张三”，点击“下一步”。

15. 在Internet电子邮件地址对话框，输入电子邮件地址zhang@ess.com，点击“下一步”。

16. 在出现的设置电子邮件服务器对话框，选择“pop3”，在接收邮件服务器输入mailServer.ess.com，待发电子邮件服务器（SMTP）名称mailServer.ess.com，点击“下一步”。

17. 在Internet邮件登录对话框，输入电子邮件用户名zhang@ess.com和密码，点击“下一步”。

18. 在出现的祝贺您对话框，点击“完成”。完成用户设置向导。

19. 点击“工具”à“帐户”。

20. 在出现的Internet帐户对话框，点中“mailServer.ess.com”点击“属性”。

21. 在出现的MailServer.ess.com属性安全标签下，在签署证书下，点击“选择”。

22. 在选择默认帐户数字ID对话框，点中出现的证书，点击“确定”。注意：如果数字证书绑定的电子邮件和 Windows Mail设置的电子邮件地址不同，在这里就不显示数字证书。

23. 在加密首选项下，点击“浏览”，在选择默认帐户数字ID对话框，点中出现的证书，点击“确定”。

4.1.5 在DCServer上查看域用户的证书

任务：

ü 查看活动目录中域用户发布的数字证书（公钥部分）

ü 打开证书颁发机构查看颁发的证书

步骤：

1. 以域管理员登录到DCServer。

2. 点击“开始”à“程序”à“管理工具”à“Active Directory用户和计算机”，打开Active Directory用户和计算机管理工具。

3. 点击“常规”à“高级功能”。

4. 右击“张三”帐户，点击“属性”。

5. 在出现的张三属性对话框的发布的证书标签下，可以看到张三的数字证书（公钥部分）。

6. 点击“开始”à“程序”à“管理工具”à“Certification Authority”，打开证书颁发机构管理工具，可以看到域用户张三申请的证书已经放到了“颁发的证书”，域用户向企业CA申请证书不需要证书颁发机构的管理员颁发证书，会自动颁发给域用户。

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1131948，如需转载请自行联系原作者