windows證書服務

⑴ 如何打開windows certificate manager

使用本主題中的過程從獨立的 Windows Server 2008 R2 或提供 Active Directory 證書服務 (AD CS） 的 Windows 伺服器 2008 R2 SP1–based 計算機獲取證書。您可以使用 certreq 中的命令行實用程序來請求和接受證書，並使用 Web 界面來提交和檢索您的證書。它假定您有安裝 AD CS、 正在使用 HTTPS 綁定，並且其相關聯的證書已安裝。主題中提供了有關創建 HTTPS 綁定的信息 如何為 Windows 伺服器 2008 CA [om12] 配置 HTTPS 綁定.

重要

本主題的內容根據默認設置的 Windows 伺服器 2008 AD CS ； 例如，將密鑰長度設置為 2048，CSP，作為選擇 Microsoft 軟體密鑰存儲提供程序，並使用安全哈希演算法 1 (SHA1)。評估這些選項對您公司的安全策略的要求。

若要從獨立證書頒發機構 (CA) 獲取證書的高級過程如下所示：
1下載的受信任根 (CA) 證書.
2導入受信任的根 (CA) 證書

3創建一個安裝程序信息文件若要使用 certreq 中的命令行實用程序。

4創建請求文件.

5將請求提交到 CA 使用請求文件.

6批准掛起的證書請求.

7從 CA 檢索證書.

8將證書導入證書存儲區.

9將證書導入使用 MOMCertImport 的運營經理.

下載的受信任根 (CA) 證書
若要下載的受信任根 (CA) 證書
1在登錄到計算機所需安裝證書 ； 例如，網關伺服器和管理伺服器。
2啟動 Internet Explorer，並連接到計算機承載證書服務 ； 示例： 例如，https://<伺服器名稱>/certsrv。
3在「歡迎」頁上，單擊「下載 CA 證書、證書鏈或 CRL」。
4在下載 CA 證書，證書鏈或 CRL 頁上，單擊編碼方法，請單擊 Base 64，然後單擊 下載 CA 證書鏈。
5在文件下載 對話框中，單擊 保存和保存證書 ； 例如， Trustedca.p7b。
6當下載完成後時，關閉 Internet Explorer。

導入受信任的根 (CA) 證書
若要導入受信任的根 (CA) 證書
1在 Windows 桌面上，單擊「開始」，然後單擊「運行」。
2在運行 對話框中，鍵入 mmc 中， ，然後單擊確定。
3在「Console1」窗口中，單擊「文件」，然後單擊「添加/刪除管理單元」。
4在「添加/刪除管理單元」對話框中，單擊「添加」。
5在「添加獨立管理單元」對話框中，單擊「證書」，然後單擊「添加」。
6在「證書管理單元」對話框中，選擇「計算機帳戶」，然後單擊「下一步」。
7在「選擇計算機」對話框中，確保選擇「本地計算機：（運行此控制台的計算機）」選項，然後單8擊「完成」。
8在「添加獨立管理單元」對話框中，單擊「關閉」。
9在「添加/刪除管理單元」對話框中，單擊「確定」。
10在控制台 1 窗口中，展開證書 （本地計算機），展開 受信任的根證書頒發機構，然後單擊 證書。
11用滑鼠右鍵單擊證書，請選擇 的所有任務，然後單擊 導入。
12在證書導入向導中，單擊下一。
13在導入的文件 頁上，單擊 瀏覽 和選擇下載 CA 證書文件，例如，TrustedCA.p7b，選擇該文件，該位置，然後單擊 打開。
14在導入的文件 頁上，選擇 將所有證書都放入下列存儲區 並確保 受信任的根證書頒發機構 出現在 的證書存儲區 框中，然後再單擊 下一。
15在完成證書導入向導 頁上，單擊 完成。

創建一個安裝程序信息文件
若要創建安裝信息 (.inf) 文件
1在承載您正在為其請求證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
2在運行 對話框中，鍵入 記事本，然後單擊 確定。
3創建包含以下內容的文本文件：
[] NewRequest
主題 ="CN =<的計算機創建證書，例如，網關伺服器或管理伺服器的 FQDN。>"
可導出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件擴展名，例如，RequestConfig.inf 與保存該文件。
5關閉記事本。

創建請求文件
若要創建使用獨立的 CA 申請文件

1在承載您正在為其請求證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
2在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
3在命令窗口中，鍵入 certreq 中名-新建

⑵ 如何停止使用 Windows 企業證書頒發機構和刪除所有相關的對象

本分步指南介紹了如何停止使用 Microsoft Windows 企業 CA，以及如何從 Active Directory 目錄服務中刪除所有相關的對象。
步驟 1： 廢除所有活動由企業 CA 簽發的證書

單擊開始，指向管理工具，然後單擊證書頒發機構。
展開您的 CA，然後單擊頒發的證書文件夾。
在右窗格中，單擊某個已頒發的證書，然後按 CTRL + A 來選擇所有已頒發的證書。
用滑鼠右鍵單擊所選的證書，單擊所有任務，然後都單擊吊銷證書。
在證書吊銷對話框中，單擊以選中作為吊銷的原因停止的操作，然後單擊確定。
步驟 2： 增加 CRL 發布間隔

在證書頒發機構 Microsoft 管理控制台 (MMC) 管理單元中，用滑鼠右鍵單擊吊銷的證書文件夾，然後單擊屬性。
在CRL 發布間隔框中，鍵入適當的長值，然後單擊確定。
注意:應保持了已被吊銷的證書的生存期超過生存期的證書吊銷列表 (CRL)。
步驟 3： 將發布新的 CRL

在證書頒發機構 MMC 管理單元中，右鍵單擊吊銷的證書文件夾。
單擊所有任務，然後單擊發布。
在發布 CRL對話框中，單擊新的 CRL，然後單擊確定。
步驟 4： 拒絕任何掛起的請求

默認情況下，一個企業 CA 不存儲證書的請求。但是，管理員可以更改此默認行為。要拒絕任何掛起的證書請求，請執行以下步驟：
在證書頒發機構 MMC 管理單元中，請單擊待定的請求文件夾。
在右窗格中，單擊一個掛起的請求，然後按 CTRL + A 來選擇所有掛起的證書。
用滑鼠右鍵單擊所選的請求，單擊所有任務，然後單擊拒絕請求。
步驟 5： 從伺服器上卸載證書服務

以停止證書服務，單擊開始，單擊運行，鍵入cmd，然後單擊確定。
在命令提示符下鍵入certutil-關閉，然後按 enter 鍵。
在命令提示符下鍵入certutil-鍵，然後按 enter 鍵。此命令將顯示所有已安裝的加密服務提供程序 (CSP) 和與每個提供程序相關聯的密鑰存儲區的名稱。在列出的密鑰存儲區中列出將您的 CA 的名稱。該名稱將出現幾次，如下面的示例中所示：
(1)Microsoft Base Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Server
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

(5)Microsoft Enhanced Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Server
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
刪除與 CA 相關聯的私鑰。為此，請在命令提示符處，鍵入下面的命令，然後按 enter 鍵：
certutil- CertificateAuthorityName delkey
注意:如果您的 CA 名稱包含空格，請將名稱括在引號內。

在此示例中，證書頒發機構名為"windows 2000 企業根 CA"。因此，在本示例中的命令行如下所示：
certutil-delkey"windows 2000 企業根 CA"
列出密鑰存儲區中，再次以驗證您的 CA 的私鑰已被刪除。
為您的 CA 中刪除私鑰後，卸載證書服務。若要執行此操作，請按照下列步驟操作，具體取決於您所運行的 Windows 伺服器的版本。

Windows Server 2003
如果它仍處於打開狀態，請關閉證書頒發機構 MMC 管理單元中。
單擊開始，指向控制面板，然後單擊添加或刪除程序。
單擊添加/刪除 Windows 組件。
在組件框中，單擊以清除證書服務復選框，單擊下一步，然後按照 Windows 組件向導中的說明完成刪除證書服務。
Windows Server 2008 和更高版本

如果您要卸載一個企業 CA，企業管理員或同等身份的成員身份是完成此過程所需的最小值。有關詳細信息，請參見實現基於角色的管理.

要卸載 CA，請執行以下步驟：
單擊開始，指向管理工具，然後單擊伺服器管理器。
在角色摘要，單擊以啟動刪除角色向導中，刪除角色，然後單擊下一步。
單擊以清除Active Directory 證書服務復選框，然後單擊下一步。
在確認刪除選項頁上，查看信息，然後單擊刪除。
如果運行 Internet Information Services (IIS)，並且提示您繼續卸載過程之前，請停止該服務，請單擊確定。
刪除角色向導完成後，重新啟動伺服器。
過程會稍有不同，如果您有多個 Active Directory 證書服務 (AD CS) 角色服務安裝在一台伺服器上。

注意您必須使用與安裝 CA 後，才能完成此過程的用戶相同的許可權登錄。如果您要卸載一個企業 CA，企業管理員或同等身份的成員身份是完成此過程所需的最小值。有關詳細信息，請參閱 實現基於角色的管理.
單擊開始，指向管理工具，然後單擊伺服器管理器。
在角色摘要，單擊Active Directory 證書服務。
在角色服務中，單擊刪除角色服務。
單擊以清除證書頒發機構復選框，然後單擊下一步。
在確認刪除選項頁上，查看信息，然後單擊刪除。
如果 IIS 正在運行，並提示您繼續卸載過程之前，請停止該服務，請單擊確定。
刪除角色向導完成後，您必須重新啟動伺服器。這將完成卸載過程。
如果剩餘的角色服務如聯機響應程序服務中，被配置為要使用的數據來自卸載 CA，則必須重新配置這些服務，以支持一個不同的 CA。卸載 CA 之後，下列信息保留在伺服器中：
CA 資料庫
CA 公鑰和私鑰的密鑰
個人存儲區中 CA 的證書
如果在安裝 AD CS 過程中指定的共享的文件夾的共享文件夾中的 CA 的證書
受信任的根證書頒發機構存儲區中 CA 鏈的根證書
中級證書頒發機構存儲區中 CA 鏈的中級證書
CA 的 CRL
默認情況下，此信息將保存在伺服器中，在您卸載和重新安裝 CA 的情況下。例如，您可能會卸載並重新安裝 CA，如果您想要將獨立 CA 更改為企業 CA。
第 6 步： 從 Active Directory 刪除 CA 對象

是某個域的成員伺服器上安裝 Microsoft 證書服務後，在 Active Directory 中的配置容器中創建多個對象。

這些對象，如下所示：
certificateAuthority 對象
位於 CN = AIA，CN = 公共服務，CN = 服務、 CN = 配置中，DC =ForestRootDomain。
包含此 CA 的 CA 證書。
發布頒發機構信息訪問 (AIA) 的位置。
crlDistributionPoint 對象
位於 CN =伺服器名，CN = CDP，CN = 公共服務，CN = 服務、 CN = 配置中，DC =ForestRoot，DC = com。
包含定期由 CA 發布的 CRL。
已發布的 CRL 分發點 (CDP) 位置
certificationAuthority 對象
位於 CN 證書頒發機構，CN = = 公鑰服務，CN = 服務、 CN = 配置中，DC =ForestRoot，DC = com。
包含此 CA 的 CA 證書。
pKIEnrollmentService 對象
位於 CN = 注冊服務，CN = 公共服務，CN = 服務、 CN = 配置中，DC =ForestRoot，DC = com。
由企業 CA。
包含有關類型的已配置 CA 的證書信息的問題。在此對象上的許可權，可以控制哪些安全主體可以針對此 CA 注冊。
卸載 CA 時，只有 pKIEnrollmentService 對象被刪除。這樣可以防止客戶端試圖對已停止使用的 CA 注冊。其他對象將保留，因為由 CA 簽發的證書可能是仍未完成。必須按照中的過程吊銷這些證書"步驟 1： 所有活動由企業 CA 簽發的證書吊銷"一節。

為了成功地處理這些未完成的證書的公鑰基礎結構 (PKI) 客戶機，計算機必須找到在 Active Directory 中的頒發機構信息訪問 (AIA) 和 CRL 分發點的路徑。它是一個好主意，要取消所有未完成的證書、 延長壽命的 crl，和在 Active Directory 中發布 CRL。如果由不同的 PKI 客戶端處理未完成的證書，驗證將會失敗，並且將不會使用這些證書。

如果不是為了維護 CRL 分發點和 AIA 在 Active Directory 中的優先順序，則可以刪除這些對象。如果您希望處理一個或多個以前活動的數字證書，則不要刪除這些對象。
從活動目錄中刪除證書服務的所有對象

注意:不應刪除證書模板從 Active Directory 直到您刪除在 Active Directory 目錄林中的所有 CA 對象之後。

若要從 Active Directory 刪除證書服務的所有對象，請執行以下步驟：
確定 CA 的 CACommonName。若要執行此操作，請按照下列步驟操作：
單擊開始，單擊運行，在打開框中，鍵入cmd ，然後單擊確定。
鍵入certutil，，然後按 enter 鍵。
記下屬於您的 CA 的名稱值。為在此過程中後面的步驟，您將需要 CACommonName。
單擊開始，指向管理工具，然後單擊Active Directory 站點和服務。
在視圖菜單上，單擊顯示服務節點。
展開服務，展開公鑰服務，然後單擊AIA文件夾。
在右窗格中，右鍵單擊您的 CA CertificationAuthority對象，單擊刪除，然後單擊是。
在 Active Directory 站點和服務 mmc 管理單元的左窗格中，單擊CDP文件夾。
在右窗格中，找到的伺服器安裝了證書服務的容器對象。用滑鼠右鍵單擊該容器，單擊刪除，然後單擊是兩次。
在 Active Directory 站點和服務 mmc 管理單元的左窗格中，單擊證書頒發機構節點。
在右窗格中，右鍵單擊您的 CA CertificationAuthority對象，單擊刪除，然後單擊是。
在 Active Directory 站點和服務 mmc 管理單元的左窗格中，單擊注冊服務節點。
在右窗格中，驗證已卸載證書服務時，已刪除您的 CA 的 pKIEnrollmentService 對象。如果不刪除該對象，用滑鼠右鍵單擊該對象，單擊刪除，然後單擊是。
如果您找不到的所有對象，某些對象可能處於 Active Directory 後執行這些步驟。清理後可能留下的對象在 Active Directory 中的 CA，請按照下列步驟，以確定是否仍然存在任何 AD 對象：
在命令行中，鍵入以下命令，然後按 enter 鍵：
ldifde-r"cn =CACommonName"-d"CN = 公鑰服務，CN = 服務、 CN = 配置中，DC =ForestRoot，DC = com"-f output.ldf
在此命令中， CACommonName表示您在步驟 1 中確定的名稱值。例如，如果名稱值為"CA1 Contoso"，鍵入以下命令：
ldifde-r"cn = CA1 Contoso"-d"cn = 公共服務，cn = 服務、 cn = 配置中，dc = contoso，dc = com"-f remainingCAobjects.ldf
在記事本中打開 remainingCAobjects.ldf 文件。替換詞"誤差： 添加"與"誤差： 刪除。"然後，驗證將刪除 Active Directory 對象是否是合法的。
在命令提示符處，鍵入下面的命令，，然後按 enter 鍵以從 Active Directory 中刪除剩餘的 CA 對象：
ldifde-i-f remainingCAobjects.ldf
如果您確信所有的證書頒發機構已被刪除，請刪除證書模板。重復步驟 12，以確定是否仍然存在任何 AD 對象。

重要：您必須刪除證書模板，除非已被刪除的所有證書頒發機構。如果意外地刪除模板，請執行以下步驟：
請確保您登錄到作為企業管理員運行證書服務的伺服器。
在命令提示符處，鍵入下面的命令，，然後按 enter 鍵：
cd %windir%\system32
鍵入以下命令，並按 enter 鍵：
regsvr32 /i:i /n /s 頒發
此操作將重新創建在 Active Directory 中的證書模板。
若要刪除證書模板，請按照下列步驟。
在左窗格中的"Active Directory 站點和服務"mmc 管理單元，單擊證書模板文件夾。
在右窗格中，單擊證書模板，然後按 CTRL + A 來選擇所有模板。用滑鼠右鍵單擊選定的模板，單擊刪除，然後單擊是。
步驟 7： 刪除證書發布到 NtAuthCertificates 對象

刪除 CA 對象後，您必須刪除 CA 證書發布到NtAuthCertificates對象。使用下列命令之一來刪除 NTAuthCertificates 存儲區中的證書：
certutil-viewdelstore ' 'ldap： / / CN = NtAuthCertificates，CN = 公共密鑰
服務，......，DC = ForestRoot，DC = com 嗎？ cACertificate? 基？ 對象類 = certificationAuthority"

certutil-viewdelstore ' 'ldap： / / CN = NtAuthCertificates，CN = 公共密鑰
服務，......，DC = ForestRoot，DC = com 嗎？ cACertificate? 基？ 對象類 = pKIEnrollmentService"
注意:必須具有企業管理員許可權才能執行此任務。
-Viewdelstore操作調用證書選擇 UI 的證書中指定的屬性集。您可以查看證書的詳細信息。您可以從選擇對話框，不更改取消操作。如果您選擇一個證書，該證書被刪除時用戶界面關閉並充分執行了該命令。

使用下面的命令來查看在活動目錄中的NtAuthCertificates對象的完整 LDAP 路徑：
certutil 商店-? |findstr"CN = NTAuth"
步驟 8： 刪除 CA 資料庫

當卸載證書服務時，CA 資料庫將保持不變，以使該 CA 可以是在另一台伺服器上重新創建。

若要刪除 CA 資料庫，請刪除 %systemroot%\System32\Certlog 文件夾。
步驟 9： 清理的域控制器

卸載 CA 後，必須刪除已頒發給域控制器證書。

若要刪除到 Windows Server 2000 的域控制器頒發的證書，請使用 Microsoft Windows 2000 資源工具包中的 Dsstore.exe 實用程序。

若要刪除證書已頒發給 Windows Server 2000 域控制器，請執行以下步驟：
單擊開始，然後單擊運行，類型 cmd然後按 enter 鍵。
在域控制器上，鍵入 dsstore dcmon 在命令提示符處，然後按 ENTER。
鍵入 3然後按 enter 鍵。此操作將刪除所有的域控制器上的所有證書。

注意Dsstore.exe 實用程序將嘗試驗證頒發給每個域控制器的域控制器證書。從他們各自的域控制器中刪除未通過驗證的證書。
若要刪除到 Windows Server 2003 的域控制器頒發的證書，請執行以下步驟。

重要：如果您使用的基於版本 1 個域控制器模板的證書，則不要使用此過程。
單擊開始，然後單擊運行，類型 cmd然後按 enter 鍵。
在域控制器上的命令提示符下鍵入 certutil-dcinfo deleteBad.
Certutil.exe 試圖驗證所有 DC 證書向域控制器發出的。已刪除未通過驗證的證書。

若要強制應用程序的安全策略，請執行以下步驟：
單擊開始，然後單擊運行，類型 cmd 在打開框中，並按 ENTER。
在命令提示符下，鍵入相應版本的操作系統的相應命令，然後按 ENTER：

⑶ win7系統，如何進入windows的證書管理器

1.打開win7的開始菜單打開控制面板。

⑷ 如何使用 Windows Server 2008 的獨立 CA獲取證書

使用本主題中的過程從獨立的 Windows Server 2008 R2 或提供 Active Directory 證書服務 (AD CS） 的 Windows 伺服器 2008 R2 SP1–based 計算機獲取證書。您可以使用 certreq 中的命令行實用程序來請求和接受證書，並使用 Web 界面來提交和檢索您的證書。
它假定您有安裝 AD CS、 正在使用 HTTPS 綁定，並且其相關聯的證書已安裝。主題中提供了有關創建 HTTPS 綁定的信息 如何為 Windows 伺服器 2008 CA [om12] 配置 HTTPS 綁定.

重要

本主題的內容根據默認設置的 Windows 伺服器 2008 AD CS ； 例如，將密鑰長度設置為 2048，CSP，作為選擇 Microsoft 軟體密鑰存儲提供程序，並使用安全哈希演算法 1 (SHA1)。評估這些選項對您公司的安全策略的要求。

若要從獨立證書頒發機構 (CA) 獲取證書的高級過程如下所示：
1下載的受信任根 (CA) 證書.
2導入受信任的根 (CA) 證書

3創建一個安裝程序信息文件若要使用 certreq 中的命令行實用程序。

4創建請求文件.

5將請求提交到 CA 使用請求文件.

6批准掛起的證書請求.

7從 CA 檢索證書.

8將證書導入證書存儲區.

9將證書導入使用 MOMCertImport 的運營經理.

下載的受信任根 (CA) 證書
若要下載的受信任根 (CA) 證書
1在登錄到計算機所需安裝證書 ； 例如，網關伺服器和管理伺服器。
2啟動 Internet Explorer，並連接到計算機承載證書服務 ； 示例： 例如，https://<伺服器名稱>/certsrv。
3在「歡迎」頁上，單擊「下載 CA 證書、證書鏈或 CRL」。
4在下載 CA 證書，證書鏈或 CRL 頁上，單擊編碼方法，請單擊 Base 64，然後單擊 下載 CA 證書鏈。
5在文件下載 對話框中，單擊 保存和保存證書 ； 例如， Trustedca.p7b。
6當下載完成後時，關閉 Internet Explorer。

導入受信任的根 (CA) 證書
若要導入受信任的根 (CA) 證書
1在 Windows 桌面上，單擊「開始」，然後單擊「運行」。
2在運行 對話框中，鍵入 mmc 中， ，然後單擊確定。
3在「Console1」窗口中，單擊「文件」，然後單擊「添加/刪除管理單元」。
4在「添加/刪除管理單元」對話框中，單擊「添加」。
5在「添加獨立管理單元」對話框中，單擊「證書」，然後單擊「添加」。
6在「證書管理單元」對話框中，選擇「計算機帳戶」，然後單擊「下一步」。
7在「選擇計算機」對話框中，確保選擇「本地計算機：（運行此控制台的計算機）」選項，然後單8擊「完成」。
8在「添加獨立管理單元」對話框中，單擊「關閉」。
9在「添加/刪除管理單元」對話框中，單擊「確定」。
10在控制台 1 窗口中，展開證書 （本地計算機），展開 受信任的根證書頒發機構，然後單擊 證書。
11用滑鼠右鍵單擊證書，請選擇 的所有任務，然後單擊 導入。
12在證書導入向導中，單擊下一。
13在導入的文件 頁上，單擊 瀏覽 和選擇下載 CA 證書文件，例如，TrustedCA.p7b，選擇該文件，該位置，然後單擊 打開。
14在導入的文件 頁上，選擇 將所有證書都放入下列存儲區 並確保 受信任的根證書頒發機構 出現在 的證書存儲區 框中，然後再單擊 下一。
15在完成證書導入向導 頁上，單擊 完成。

創建一個安裝程序信息文件
若要創建安裝信息 (.inf) 文件
1在承載您正在為其請求證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
2在運行 對話框中，鍵入 記事本，然後單擊 確定。
3創建包含以下內容的文本文件：
[] NewRequest
主題 ="CN =<的計算機創建證書，例如，網關伺服器或管理伺服器的 FQDN。>"
可導出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件擴展名，例如，RequestConfig.inf 與保存該文件。
5關閉記事本。

創建請求文件
若要創建使用獨立的 CA 申請文件

1在承載您正在為其請求證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
2在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
3在命令窗口中，鍵入 certreq 中名-新建 – f RequestConfig.inf CertRequest.req，然後按 enter 鍵。
4用記事本打開生成的文件 （例如，CertRequest.req）。復制到剪貼板上此文件的內容。

將請求提交到 CA 使用請求文件
若要向獨立 CA 提交一個請求

1承載您請求證書的操作管理器功能的計算機，啟動 Internet Explorer，然後連接到提供證書服務的計算機 （例如，https://<伺服器名稱>/certsrv)。

注釋

如果沒有證書服務 Web 站點上配置 HTTPS 綁定，則瀏覽器將無法連接。有關詳情，請參閱如何為 Windows 伺服器 2008 CA [om12] 配置 HTTPS 綁定。
2在 Microsoft 活動目錄證書服務歡迎 屏幕中，單擊 請求一個證書。

3在請求一個證書 頁上，單擊 高級的證書申請。
4在高級證書申請 頁上，單擊 提交證書申請使用 64 編碼 CMC 或 PKCS #10 文件，或通過使用 64 編碼的 PKCS #7 文件提交續訂請求。
5在提交的證書申請或續訂請求 頁面，在 保存請求 文本框中，CertRequest.req 文件中復制的內容的步驟 4 中先前的操作過程，然後單擊的粘貼 提交。
6關閉 Internet Explorer。

批准掛起的證書請求
批准掛起的證書申請
1登錄到承載 Active Directory 證書服務的計算機證書頒發機構管理員。
2在 Windows 桌面上，請單擊開始，指向 程序，指向 管理工具，然後單擊 證書頒發機構。
3在「證書頒發機構」中，展開您的證書頒發機構名稱的節點，然後單擊「掛起的申請」。
4在結果窗格中，右鍵單擊上述過程中掛起的申請，指向「所有任務」，然後單擊「頒發」。
5單擊「頒發的證書」，然後確認您剛頒發的證書已列出。
6關閉證書頒發機構。

從 CA 檢索證書
檢索證書
在登錄到計算機所需安裝證書 ； 例如，網關伺服器和管理伺服器。
啟動 Internet Explorer，並連接到提供證書服務的計算機 （例如，https://<伺服器名稱>/certsrv)。
在 Microsoft 活動目錄證書服務歡迎 頁上，單擊 查看掛起的證書申請的狀態。
在「查看掛起的證書申請狀態」頁上，單擊您申請的證書。
在證書頒發的 頁上，選擇 Base 64 編碼，然後單擊 下載證書。
在文件下載-安全警告 對話框中，單擊 保存，並保存該證書 ； 例如，作為 NewCertificate.cer。
在「證書已安裝」頁面上，在您看到「您的新證書已經成功安裝」消息之後，請關閉瀏覽器。
關閉 Internet Explorer。

將證書導入證書存儲區
若要將證書導入證書存儲區
在承載您配置證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
在命令窗口中，鍵入 certreq 中 –Accept NewCertifiate.cer，然後按 enter 鍵。

將證書導入使用 MOMCertImport 的運營經理
若要將證書導入使用 MOMCertImport 的運營經理
登錄到管理員組的成員的帳戶安裝證書的計算機上。
在 Windows 桌面上，單擊「開始」，然後單擊「運行」。
在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
在命令提示符處，鍵入 <驅動器號>:(其中<驅動器盤符> 是驅動器其中 Operations Manager安裝媒體的位置），然後按 enter 鍵。
類型 cd\SupportTools\i386，然後按 enter 鍵。

注釋

在 64 位計算機上，鍵入 cd\SupportTools\amd64

鍵入下列命令：
MOMCertImport /SubjectName <證書使用者名稱>
按 Enter。

1注釋

機器翻譯免責聲明：本文由計算機系統在未經人為干預的情況下翻譯。Microsoft 提供機器翻譯來幫助非英語用戶閱讀有關 Microsoft 產品、服務和技術的內容。由於本文為機器翻譯，因此可能包含詞彙、句法或語法方面的錯誤。

⑸ 在Win7中Windows組件怎麼找不到證書服務

主要是64位系統的問題，excel是32位的組件，所以在正常的系統組件服務里是看不到的
可以通過在運行裡面輸入 comexp.msc -32 來打開32位的組件服務，在里就能看到excel組件

⑹ Windows活動目錄證書服務有什麼作用什麼時候要用到這個

活動目錄(Active Directory)主要作用：
①基礎網路服務：包括DNS、WINS、DHCP、證書服務等。
②伺服器及客戶端計算機管理：管理伺服器及客戶端計算機賬戶，所有伺服器及客戶端計算機加入域管理並實施組策略。
③用戶服務：管理用戶域賬戶、用戶信息、企業通訊錄（與電子郵件系統集成）、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。
④資源管理：管理列印機、文件共享服務等網路資源。
⑤桌面配置：系統管理員可以集中的配置各種桌面配置策略，如：用戶使用域中資源許可權限制、界面功能的限制、應用程序執行特徵限制、網路連接限制、安全配置限制等。
⑥應用系統支撐：支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。

⑺ Windows Server 2008中怎麼安裝證書服務

windows2008下安裝ssl證書圖文教程

• 獲取證書

  o無論購買還是申請免費的證書，一般都會把證書文件發到你的郵箱或者你購買網址的後台，把證書文件下載到本地桌面。

  o將證書簽發郵件中的包含伺服器證書代碼的文本復制出來（包括「—–BEGIN CERTIFICATE—–」和「—–END CERTIFICATE—–」）粘貼到記事本等文本編輯器中並修改文件名，保存為為server.cer。

  o中級CA證書：將證書簽發郵件中的從BEGIN到 END結束的兩張中級CA證書內容（包括「—–BEGIN CERTIFICATE—–」和「—–END CERTIFICATE—–」）分別粘貼到記事本等文本編輯器中，並修改文件擴展名，保存為intermediate1.cer和intermediate2.cer文件(如果您的伺服器證書只有一張中級證書，則只需要保存並安裝一張中級證書)。

• 安裝中級CA證書

  o在「開始」菜單上，依次單擊「所有程序」、「附件」和「運行」。

  o在「打開」框中，鍵入mmc，然後單擊「確定」。

  o打開控制台，點擊「文件」之後點擊「添加/刪除管理單元」。

• 刪除服務端一張(EV)根證書

  ·選擇「證書」=>「受信任的根證書頒發機構」=>「證書」。

  ·檢查其中是否存在名稱為「VeriSign Class 3 Public Primary Certification Authority - G5」有效期 2006-11-8 到 2036-7-17的證書，如果存在，請刪除該證書。如未找到該證書，請忽略繼續以下操作。

  ·選擇「證書」=>「第三方根證書頒發機構」=>「證書」。

  ·檢查其中是否存在名稱為「VeriSign Class 3 Public Primary Certification Authority - G5」有效期 2006-11-27 到 2036-7-17的證書，如果存在，請刪除該證書。

⑻ win7 在哪安裝證書伺服器

步驟1：搭建軟體環境，windows7旗艦版執行【開始】I 【設置】I 【控制面板版】命令，權在打開的【控制面板】 窗口中雙擊【添加刪除程序Windows組件】選項，在這裡面安裝IIS以及ASP服務，如圖所示。