windows证书服务

⑴ 如何打开windows certificate manager

使用本主题中的过程从独立的 Windows Server 2008 R2 或提供 Active Directory 证书服务 (AD CS） 的 Windows 服务器 2008 R2 SP1–based 计算机获取证书。您可以使用 certreq 中的命令行实用程序来请求和接受证书，并使用 Web 界面来提交和检索您的证书。它假定您有安装 AD CS、 正在使用 HTTPS 绑定，并且其相关联的证书已安装。主题中提供了有关创建 HTTPS 绑定的信息 如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定.

重要

本主题的内容根据默认设置的 Windows 服务器 2008 AD CS ； 例如，将密钥长度设置为 2048，CSP，作为选择 Microsoft 软件密钥存储提供程序，并使用安全哈希算法 1 (SHA1)。评估这些选项对您公司的安全策略的要求。

若要从独立证书颁发机构 (CA) 获取证书的高级过程如下所示：
1下载的受信任根 (CA) 证书.
2导入受信任的根 (CA) 证书

3创建一个安装程序信息文件若要使用 certreq 中的命令行实用程序。

4创建请求文件.

5将请求提交到 CA 使用请求文件.

6批准挂起的证书请求.

7从 CA 检索证书.

8将证书导入证书存储区.

9将证书导入使用 MOMCertImport 的运营经理.

下载的受信任根 (CA) 证书
若要下载的受信任根 (CA) 证书
1在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。
2启动 Internet Explorer，并连接到计算机承载证书服务 ； 示例： 例如，https://<服务器名称>/certsrv。
3在“欢迎”页上，单击“下载 CA 证书、证书链或 CRL”。
4在下载 CA 证书，证书链或 CRL 页上，单击编码方法，请单击 Base 64，然后单击 下载 CA 证书链。
5在文件下载 对话框中，单击 保存和保存证书 ； 例如， Trustedca.p7b。
6当下载完成后时，关闭 Internet Explorer。

导入受信任的根 (CA) 证书
若要导入受信任的根 (CA) 证书
1在 Windows 桌面上，单击“开始”，然后单击“运行”。
2在运行 对话框中，键入 mmc 中， ，然后单击确定。
3在“Console1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。
4在“添加/删除管理单元”对话框中，单击“添加”。
5在“添加独立管理单元”对话框中，单击“证书”，然后单击“添加”。
6在“证书管理单元”对话框中，选择“计算机帐户”，然后单击“下一步”。
7在“选择计算机”对话框中，确保选择“本地计算机：（运行此控制台的计算机）”选项，然后单8击“完成”。
8在“添加独立管理单元”对话框中，单击“关闭”。
9在“添加/删除管理单元”对话框中，单击“确定”。
10在控制台 1 窗口中，展开证书 （本地计算机），展开 受信任的根证书颁发机构，然后单击 证书。
11用鼠标右键单击证书，请选择 的所有任务，然后单击 导入。
12在证书导入向导中，单击下一。
13在导入的文件 页上，单击 浏览 和选择下载 CA 证书文件，例如，TrustedCA.p7b，选择该文件，该位置，然后单击 打开。
14在导入的文件 页上，选择 将所有证书都放入下列存储区 并确保 受信任的根证书颁发机构 出现在 的证书存储区 框中，然后再单击 下一。
15在完成证书导入向导 页上，单击 完成。

创建一个安装程序信息文件
若要创建安装信息 (.inf) 文件
1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
2在运行 对话框中，键入 记事本，然后单击 确定。
3创建包含以下内容的文本文件：
[] NewRequest
主题 ="CN =<的计算机创建证书，例如，网关服务器或管理服务器的 FQDN。>"
可导出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件扩展名，例如，RequestConfig.inf 与保存该文件。
5关闭记事本。

创建请求文件
若要创建使用独立的 CA 申请文件

1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
2在“运行”对话框中，键入 cmd，然后单击“确定”。
3在命令窗口中，键入 certreq 中名-新建

⑵ 如何停止使用 Windows 企业证书颁发机构和删除所有相关的对象

本分步指南介绍了如何停止使用 Microsoft Windows 企业 CA，以及如何从 Active Directory 目录服务中删除所有相关的对象。
步骤 1： 废除所有活动由企业 CA 签发的证书

单击开始，指向管理工具，然后单击证书颁发机构。
展开您的 CA，然后单击颁发的证书文件夹。
在右窗格中，单击某个已颁发的证书，然后按 CTRL + A 来选择所有已颁发的证书。
用鼠标右键单击所选的证书，单击所有任务，然后都单击吊销证书。
在证书吊销对话框中，单击以选中作为吊销的原因停止的操作，然后单击确定。
步骤 2： 增加 CRL 发布间隔

在证书颁发机构 Microsoft 管理控制台 (MMC) 管理单元中，用鼠标右键单击吊销的证书文件夹，然后单击属性。
在CRL 发布间隔框中，键入适当的长值，然后单击确定。
注意:应保持了已被吊销的证书的生存期超过生存期的证书吊销列表 (CRL)。
步骤 3： 将发布新的 CRL

在证书颁发机构 MMC 管理单元中，右键单击吊销的证书文件夹。
单击所有任务，然后单击发布。
在发布 CRL对话框中，单击新的 CRL，然后单击确定。
步骤 4： 拒绝任何挂起的请求

默认情况下，一个企业 CA 不存储证书的请求。但是，管理员可以更改此默认行为。要拒绝任何挂起的证书请求，请执行以下步骤：
在证书颁发机构 MMC 管理单元中，请单击待定的请求文件夹。
在右窗格中，单击一个挂起的请求，然后按 CTRL + A 来选择所有挂起的证书。
用鼠标右键单击所选的请求，单击所有任务，然后单击拒绝请求。
步骤 5： 从服务器上卸载证书服务

以停止证书服务，单击开始，单击运行，键入cmd，然后单击确定。
在命令提示符下键入certutil-关闭，然后按 enter 键。
在命令提示符下键入certutil-键，然后按 enter 键。此命令将显示所有已安装的加密服务提供程序 (CSP) 和与每个提供程序相关联的密钥存储区的名称。在列出的密钥存储区中列出将您的 CA 的名称。该名称将出现几次，如下面的示例中所示：
(1)Microsoft Base Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Server
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500

(5)Microsoft Enhanced Cryptographic Provider v1.0:
1a3b2f44-2540-408b-8867-51bd6b6ed413
MS IIS DCOM ClientSYSTEMS-1-5-18
MS IIS DCOM Server
Windows2000 Enterprise Root CA
MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500

afd1bc0a-a93c-4a31-8056-c0b9ca632896
Microsoft Internet Information Server
NetMon
MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
删除与 CA 相关联的私钥。为此，请在命令提示符处，键入下面的命令，然后按 enter 键：
certutil- CertificateAuthorityName delkey
注意:如果您的 CA 名称包含空格，请将名称括在引号内。

在此示例中，证书颁发机构名为"windows 2000 企业根 CA"。因此，在本示例中的命令行如下所示：
certutil-delkey"windows 2000 企业根 CA"
列出密钥存储区中，再次以验证您的 CA 的私钥已被删除。
为您的 CA 中删除私钥后，卸载证书服务。若要执行此操作，请按照下列步骤操作，具体取决于您所运行的 Windows 服务器的版本。

Windows Server 2003
如果它仍处于打开状态，请关闭证书颁发机构 MMC 管理单元中。
单击开始，指向控制面板，然后单击添加或删除程序。
单击添加/删除 Windows 组件。
在组件框中，单击以清除证书服务复选框，单击下一步，然后按照 Windows 组件向导中的说明完成删除证书服务。
Windows Server 2008 和更高版本

如果您要卸载一个企业 CA，企业管理员或同等身份的成员身份是完成此过程所需的最小值。有关详细信息，请参见实现基于角色的管理.

要卸载 CA，请执行以下步骤：
单击开始，指向管理工具，然后单击服务器管理器。
在角色摘要，单击以启动删除角色向导中，删除角色，然后单击下一步。
单击以清除Active Directory 证书服务复选框，然后单击下一步。
在确认删除选项页上，查看信息，然后单击删除。
如果运行 Internet Information Services (IIS)，并且提示您继续卸载过程之前，请停止该服务，请单击确定。
删除角色向导完成后，重新启动服务器。
过程会稍有不同，如果您有多个 Active Directory 证书服务 (AD CS) 角色服务安装在一台服务器上。

注意您必须使用与安装 CA 后，才能完成此过程的用户相同的权限登录。如果您要卸载一个企业 CA，企业管理员或同等身份的成员身份是完成此过程所需的最小值。有关详细信息，请参阅 实现基于角色的管理.
单击开始，指向管理工具，然后单击服务器管理器。
在角色摘要，单击Active Directory 证书服务。
在角色服务中，单击删除角色服务。
单击以清除证书颁发机构复选框，然后单击下一步。
在确认删除选项页上，查看信息，然后单击删除。
如果 IIS 正在运行，并提示您继续卸载过程之前，请停止该服务，请单击确定。
删除角色向导完成后，您必须重新启动服务器。这将完成卸载过程。
如果剩余的角色服务如联机响应程序服务中，被配置为要使用的数据来自卸载 CA，则必须重新配置这些服务，以支持一个不同的 CA。卸载 CA 之后，下列信息保留在服务器中：
CA 数据库
CA 公钥和私钥的密钥
个人存储区中 CA 的证书
如果在安装 AD CS 过程中指定的共享的文件夹的共享文件夹中的 CA 的证书
受信任的根证书颁发机构存储区中 CA 链的根证书
中级证书颁发机构存储区中 CA 链的中级证书
CA 的 CRL
默认情况下，此信息将保存在服务器中，在您卸载和重新安装 CA 的情况下。例如，您可能会卸载并重新安装 CA，如果您想要将独立 CA 更改为企业 CA。
第 6 步： 从 Active Directory 删除 CA 对象

是某个域的成员服务器上安装 Microsoft 证书服务后，在 Active Directory 中的配置容器中创建多个对象。

这些对象，如下所示：
certificateAuthority 对象
位于 CN = AIA，CN = 公共服务，CN = 服务、 CN = 配置中，DC =ForestRootDomain。
包含此 CA 的 CA 证书。
发布颁发机构信息访问 (AIA) 的位置。
crlDistributionPoint 对象
位于 CN =服务器名，CN = CDP，CN = 公共服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com。
包含定期由 CA 发布的 CRL。
已发布的 CRL 分发点 (CDP) 位置
certificationAuthority 对象
位于 CN 证书颁发机构，CN = = 公钥服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com。
包含此 CA 的 CA 证书。
pKIEnrollmentService 对象
位于 CN = 注册服务，CN = 公共服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com。
由企业 CA。
包含有关类型的已配置 CA 的证书信息的问题。在此对象上的权限，可以控制哪些安全主体可以针对此 CA 注册。
卸载 CA 时，只有 pKIEnrollmentService 对象被删除。这样可以防止客户端试图对已停止使用的 CA 注册。其他对象将保留，因为由 CA 签发的证书可能是仍未完成。必须按照中的过程吊销这些证书"步骤 1： 所有活动由企业 CA 签发的证书吊销"一节。

为了成功地处理这些未完成的证书的公钥基础结构 (PKI) 客户机，计算机必须找到在 Active Directory 中的颁发机构信息访问 (AIA) 和 CRL 分发点的路径。它是一个好主意，要取消所有未完成的证书、 延长寿命的 crl，和在 Active Directory 中发布 CRL。如果由不同的 PKI 客户端处理未完成的证书，验证将会失败，并且将不会使用这些证书。

如果不是为了维护 CRL 分发点和 AIA 在 Active Directory 中的优先级，则可以删除这些对象。如果您希望处理一个或多个以前活动的数字证书，则不要删除这些对象。
从活动目录中删除证书服务的所有对象

注意:不应删除证书模板从 Active Directory 直到您删除在 Active Directory 目录林中的所有 CA 对象之后。

若要从 Active Directory 删除证书服务的所有对象，请执行以下步骤：
确定 CA 的 CACommonName。若要执行此操作，请按照下列步骤操作：
单击开始，单击运行，在打开框中，键入cmd ，然后单击确定。
键入certutil，，然后按 enter 键。
记下属于您的 CA 的名称值。为在此过程中后面的步骤，您将需要 CACommonName。
单击开始，指向管理工具，然后单击Active Directory 站点和服务。
在视图菜单上，单击显示服务节点。
展开服务，展开公钥服务，然后单击AIA文件夹。
在右窗格中，右键单击您的 CA CertificationAuthority对象，单击删除，然后单击是。
在 Active Directory 站点和服务 mmc 管理单元的左窗格中，单击CDP文件夹。
在右窗格中，找到的服务器安装了证书服务的容器对象。用鼠标右键单击该容器，单击删除，然后单击是两次。
在 Active Directory 站点和服务 mmc 管理单元的左窗格中，单击证书颁发机构节点。
在右窗格中，右键单击您的 CA CertificationAuthority对象，单击删除，然后单击是。
在 Active Directory 站点和服务 mmc 管理单元的左窗格中，单击注册服务节点。
在右窗格中，验证已卸载证书服务时，已删除您的 CA 的 pKIEnrollmentService 对象。如果不删除该对象，用鼠标右键单击该对象，单击删除，然后单击是。
如果您找不到的所有对象，某些对象可能处于 Active Directory 后执行这些步骤。清理后可能留下的对象在 Active Directory 中的 CA，请按照下列步骤，以确定是否仍然存在任何 AD 对象：
在命令行中，键入以下命令，然后按 enter 键：
ldifde-r"cn =CACommonName"-d"CN = 公钥服务，CN = 服务、 CN = 配置中，DC =ForestRoot，DC = com"-f output.ldf
在此命令中， CACommonName表示您在步骤 1 中确定的名称值。例如，如果名称值为"CA1 Contoso"，键入以下命令：
ldifde-r"cn = CA1 Contoso"-d"cn = 公共服务，cn = 服务、 cn = 配置中，dc = contoso，dc = com"-f remainingCAobjects.ldf
在记事本中打开 remainingCAobjects.ldf 文件。替换词"误差： 添加"与"误差： 删除。"然后，验证将删除 Active Directory 对象是否是合法的。
在命令提示符处，键入下面的命令，，然后按 enter 键以从 Active Directory 中删除剩余的 CA 对象：
ldifde-i-f remainingCAobjects.ldf
如果您确信所有的证书颁发机构已被删除，请删除证书模板。重复步骤 12，以确定是否仍然存在任何 AD 对象。

重要：您必须删除证书模板，除非已被删除的所有证书颁发机构。如果意外地删除模板，请执行以下步骤：
请确保您登录到作为企业管理员运行证书服务的服务器。
在命令提示符处，键入下面的命令，，然后按 enter 键：
cd %windir%\system32
键入以下命令，并按 enter 键：
regsvr32 /i:i /n /s 颁发
此操作将重新创建在 Active Directory 中的证书模板。
若要删除证书模板，请按照下列步骤。
在左窗格中的"Active Directory 站点和服务"mmc 管理单元，单击证书模板文件夹。
在右窗格中，单击证书模板，然后按 CTRL + A 来选择所有模板。用鼠标右键单击选定的模板，单击删除，然后单击是。
步骤 7： 删除证书发布到 NtAuthCertificates 对象

删除 CA 对象后，您必须删除 CA 证书发布到NtAuthCertificates对象。使用下列命令之一来删除 NTAuthCertificates 存储区中的证书：
certutil-viewdelstore ' 'ldap： / / CN = NtAuthCertificates，CN = 公共密钥
服务，......，DC = ForestRoot，DC = com 吗？ cACertificate? 基？ 对象类 = certificationAuthority"

certutil-viewdelstore ' 'ldap： / / CN = NtAuthCertificates，CN = 公共密钥
服务，......，DC = ForestRoot，DC = com 吗？ cACertificate? 基？ 对象类 = pKIEnrollmentService"
注意:必须具有企业管理员权限才能执行此任务。
-Viewdelstore操作调用证书选择 UI 的证书中指定的属性集。您可以查看证书的详细信息。您可以从选择对话框，不更改取消操作。如果您选择一个证书，该证书被删除时用户界面关闭并充分执行了该命令。

使用下面的命令来查看在活动目录中的NtAuthCertificates对象的完整 LDAP 路径：
certutil 商店-? |findstr"CN = NTAuth"
步骤 8： 删除 CA 数据库

当卸载证书服务时，CA 数据库将保持不变，以使该 CA 可以是在另一台服务器上重新创建。

若要删除 CA 数据库，请删除 %systemroot%\System32\Certlog 文件夹。
步骤 9： 清理的域控制器

卸载 CA 后，必须删除已颁发给域控制器证书。

若要删除到 Windows Server 2000 的域控制器颁发的证书，请使用 Microsoft Windows 2000 资源工具包中的 Dsstore.exe 实用程序。

若要删除证书已颁发给 Windows Server 2000 域控制器，请执行以下步骤：
单击开始，然后单击运行，类型 cmd然后按 enter 键。
在域控制器上，键入 dsstore dcmon 在命令提示符处，然后按 ENTER。
键入 3然后按 enter 键。此操作将删除所有的域控制器上的所有证书。

注意Dsstore.exe 实用程序将尝试验证颁发给每个域控制器的域控制器证书。从他们各自的域控制器中删除未通过验证的证书。
若要删除到 Windows Server 2003 的域控制器颁发的证书，请执行以下步骤。

重要：如果您使用的基于版本 1 个域控制器模板的证书，则不要使用此过程。
单击开始，然后单击运行，类型 cmd然后按 enter 键。
在域控制器上的命令提示符下键入 certutil-dcinfo deleteBad.
Certutil.exe 试图验证所有 DC 证书向域控制器发出的。已删除未通过验证的证书。

若要强制应用程序的安全策略，请执行以下步骤：
单击开始，然后单击运行，类型 cmd 在打开框中，并按 ENTER。
在命令提示符下，键入相应版本的操作系统的相应命令，然后按 ENTER：

⑶ win7系统，如何进入windows的证书管理器

1.打开win7的开始菜单打开控制面板。

⑷ 如何使用 Windows Server 2008 的独立 CA获取证书

使用本主题中的过程从独立的 Windows Server 2008 R2 或提供 Active Directory 证书服务 (AD CS） 的 Windows 服务器 2008 R2 SP1–based 计算机获取证书。您可以使用 certreq 中的命令行实用程序来请求和接受证书，并使用 Web 界面来提交和检索您的证书。
它假定您有安装 AD CS、 正在使用 HTTPS 绑定，并且其相关联的证书已安装。主题中提供了有关创建 HTTPS 绑定的信息 如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定.

重要

本主题的内容根据默认设置的 Windows 服务器 2008 AD CS ； 例如，将密钥长度设置为 2048，CSP，作为选择 Microsoft 软件密钥存储提供程序，并使用安全哈希算法 1 (SHA1)。评估这些选项对您公司的安全策略的要求。

若要从独立证书颁发机构 (CA) 获取证书的高级过程如下所示：
1下载的受信任根 (CA) 证书.
2导入受信任的根 (CA) 证书

3创建一个安装程序信息文件若要使用 certreq 中的命令行实用程序。

4创建请求文件.

5将请求提交到 CA 使用请求文件.

6批准挂起的证书请求.

7从 CA 检索证书.

8将证书导入证书存储区.

9将证书导入使用 MOMCertImport 的运营经理.

下载的受信任根 (CA) 证书
若要下载的受信任根 (CA) 证书
1在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。
2启动 Internet Explorer，并连接到计算机承载证书服务 ； 示例： 例如，https://<服务器名称>/certsrv。
3在“欢迎”页上，单击“下载 CA 证书、证书链或 CRL”。
4在下载 CA 证书，证书链或 CRL 页上，单击编码方法，请单击 Base 64，然后单击 下载 CA 证书链。
5在文件下载 对话框中，单击 保存和保存证书 ； 例如， Trustedca.p7b。
6当下载完成后时，关闭 Internet Explorer。

导入受信任的根 (CA) 证书
若要导入受信任的根 (CA) 证书
1在 Windows 桌面上，单击“开始”，然后单击“运行”。
2在运行 对话框中，键入 mmc 中， ，然后单击确定。
3在“Console1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。
4在“添加/删除管理单元”对话框中，单击“添加”。
5在“添加独立管理单元”对话框中，单击“证书”，然后单击“添加”。
6在“证书管理单元”对话框中，选择“计算机帐户”，然后单击“下一步”。
7在“选择计算机”对话框中，确保选择“本地计算机：（运行此控制台的计算机）”选项，然后单8击“完成”。
8在“添加独立管理单元”对话框中，单击“关闭”。
9在“添加/删除管理单元”对话框中，单击“确定”。
10在控制台 1 窗口中，展开证书 （本地计算机），展开 受信任的根证书颁发机构，然后单击 证书。
11用鼠标右键单击证书，请选择 的所有任务，然后单击 导入。
12在证书导入向导中，单击下一。
13在导入的文件 页上，单击 浏览 和选择下载 CA 证书文件，例如，TrustedCA.p7b，选择该文件，该位置，然后单击 打开。
14在导入的文件 页上，选择 将所有证书都放入下列存储区 并确保 受信任的根证书颁发机构 出现在 的证书存储区 框中，然后再单击 下一。
15在完成证书导入向导 页上，单击 完成。

创建一个安装程序信息文件
若要创建安装信息 (.inf) 文件
1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
2在运行 对话框中，键入 记事本，然后单击 确定。
3创建包含以下内容的文本文件：
[] NewRequest
主题 ="CN =<的计算机创建证书，例如，网关服务器或管理服务器的 FQDN。>"
可导出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件扩展名，例如，RequestConfig.inf 与保存该文件。
5关闭记事本。

创建请求文件
若要创建使用独立的 CA 申请文件

1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
2在“运行”对话框中，键入 cmd，然后单击“确定”。
3在命令窗口中，键入 certreq 中名-新建 – f RequestConfig.inf CertRequest.req，然后按 enter 键。
4用记事本打开生成的文件 （例如，CertRequest.req）。复制到剪贴板上此文件的内容。

将请求提交到 CA 使用请求文件
若要向独立 CA 提交一个请求

1承载您请求证书的操作管理器功能的计算机，启动 Internet Explorer，然后连接到提供证书服务的计算机 （例如，https://<服务器名称>/certsrv)。

注释

如果没有证书服务 Web 站点上配置 HTTPS 绑定，则浏览器将无法连接。有关详情，请参阅如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定。
2在 Microsoft 活动目录证书服务欢迎 屏幕中，单击 请求一个证书。

3在请求一个证书 页上，单击 高级的证书申请。
4在高级证书申请 页上，单击 提交证书申请使用 64 编码 CMC 或 PKCS #10 文件，或通过使用 64 编码的 PKCS #7 文件提交续订请求。
5在提交的证书申请或续订请求 页面，在 保存请求 文本框中，CertRequest.req 文件中复制的内容的步骤 4 中先前的操作过程，然后单击的粘贴 提交。
6关闭 Internet Explorer。

批准挂起的证书请求
批准挂起的证书申请
1登录到承载 Active Directory 证书服务的计算机证书颁发机构管理员。
2在 Windows 桌面上，请单击开始，指向 程序，指向 管理工具，然后单击 证书颁发机构。
3在“证书颁发机构”中，展开您的证书颁发机构名称的节点，然后单击“挂起的申请”。
4在结果窗格中，右键单击上述过程中挂起的申请，指向“所有任务”，然后单击“颁发”。
5单击“颁发的证书”，然后确认您刚颁发的证书已列出。
6关闭证书颁发机构。

从 CA 检索证书
检索证书
在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。
启动 Internet Explorer，并连接到提供证书服务的计算机 （例如，https://<服务器名称>/certsrv)。
在 Microsoft 活动目录证书服务欢迎 页上，单击 查看挂起的证书申请的状态。
在“查看挂起的证书申请状态”页上，单击您申请的证书。
在证书颁发的 页上，选择 Base 64 编码，然后单击 下载证书。
在文件下载-安全警告 对话框中，单击 保存，并保存该证书 ； 例如，作为 NewCertificate.cer。
在“证书已安装”页面上，在您看到“您的新证书已经成功安装”消息之后，请关闭浏览器。
关闭 Internet Explorer。

将证书导入证书存储区
若要将证书导入证书存储区
在承载您配置证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
在“运行”对话框中，键入 cmd，然后单击“确定”。
在命令窗口中，键入 certreq 中 –Accept NewCertifiate.cer，然后按 enter 键。

将证书导入使用 MOMCertImport 的运营经理
若要将证书导入使用 MOMCertImport 的运营经理
登录到管理员组的成员的帐户安装证书的计算机上。
在 Windows 桌面上，单击“开始”，然后单击“运行”。
在“运行”对话框中，键入 cmd，然后单击“确定”。
在命令提示符处，键入 <驱动器号>:(其中<驱动器盘符> 是驱动器其中 Operations Manager安装媒体的位置），然后按 enter 键。
类型 cd\SupportTools\i386，然后按 enter 键。

注释

在 64 位计算机上，键入 cd\SupportTools\amd64

键入下列命令：
MOMCertImport /SubjectName <证书使用者名称>
按 Enter。

1注释

机器翻译免责声明：本文由计算机系统在未经人为干预的情况下翻译。Microsoft 提供机器翻译来帮助非英语用户阅读有关 Microsoft 产品、服务和技术的内容。由于本文为机器翻译，因此可能包含词汇、句法或语法方面的错误。

⑸ 在Win7中Windows组件怎么找不到证书服务

主要是64位系统的问题，excel是32位的组件，所以在正常的系统组件服务里是看不到的
可以通过在运行里面输入 comexp.msc -32 来打开32位的组件服务，在里就能看到excel组件

⑹ Windows活动目录证书服务有什么作用什么时候要用到这个

活动目录(Active Directory)主要作用：
①基础网络服务：包括DNS、WINS、DHCP、证书服务等。
②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。
③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。
④资源管理：管理打印机、文件共享服务等网络资源。
⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：用户使用域中资源权限限制、界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。
⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

⑺ Windows Server 2008中怎么安装证书服务

windows2008下安装ssl证书图文教程

• 获取证书

  o无论购买还是申请免费的证书，一般都会把证书文件发到你的邮箱或者你购买网址的后台，把证书文件下载到本地桌面。

  o将证书签发邮件中的包含服务器证书代码的文本复制出来（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）粘贴到记事本等文本编辑器中并修改文件名，保存为为server.cer。

  o中级CA证书：将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为intermediate1.cer和intermediate2.cer文件(如果您的服务器证书只有一张中级证书，则只需要保存并安装一张中级证书)。

• 安装中级CA证书

  o在“开始”菜单上，依次单击“所有程序”、“附件”和“运行”。

  o在“打开”框中，键入mmc，然后单击“确定”。

  o打开控制台，点击“文件”之后点击“添加/删除管理单元”。

• 删除服务端一张(EV)根证书

  ·选择“证书”=>“受信任的根证书颁发机构”=>“证书”。

  ·检查其中是否存在名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的证书，如果存在，请删除该证书。如未找到该证书，请忽略继续以下操作。

  ·选择“证书”=>“第三方根证书颁发机构”=>“证书”。

  ·检查其中是否存在名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-27 到 2036-7-17的证书，如果存在，请删除该证书。

⑻ win7 在哪安装证书服务器

步骤1：搭建软件环境，windows7旗舰版执行【开始】I 【设置】I 【控制面板版】命令，权在打开的【控制面板】 窗口中双击【添加删除程序Windows组件】选项，在这里面安装IIS以及ASP服务，如图所示。