CA服务器即我们平时所说的证书颁发机构，由于现在安全问题日益严重，为了保证数据传输的机密性，交易者双方身份的确定性等问题，我们需要采用一种安全机制来实现这些功能，在这里我们来探讨以下PKI体系中的“证书”，也就是如何来构建一个CA的环境来保证安全性。

CA（证书颁发机构）主要负责证书的颁发、管理以及归档和吊销，我们可以把证书认为是我们开车需要使用的驾驶执照。证书主要有三大功能：加密、签名、身份验证。这里不在具体阐述加密相关知识，这里主要讨论如何来实现CA的环境。

OK、下面我们开始安装和部署CA证书服务器：

安装证书服务

打开服务器管理器：

点击添加角色或功能：

这里我们勾选证书服务:

点击添加功能：

确认已经成功勾选证书服务后点击下一步：

这里我们直接点击下一步：

这里系统给我们解释了一下 CA服务器的注意事项，我们直接点击下一步:

这里我们勾选证书颁发机构和证书颁发季候Web注册:

点击添加功能：

确认所要勾选的内容没有错误后，点击下一步：

这里可以看到我们安装证书服务器系统会自动给我们安装WEB服务器（IIS），我们直接点击下一步：

这里保持默认，点击下一步：

确认所要安装内容没有问题后，点击安装：

安装开始，我们稍等片刻：

OK安装完成！

部署CA证书服务器

点击配置目标服务器上的Active Directory 证书服务：

系统给我们弹出了AD CS配置向导，我们在凭据位置保持默认，点击下一步：

这里我们勾选我们所安装的两个功能：证书颁发机构和证书颁发机构Web注册，点击下一步：

在CA类型处我们选择企业CA，点击下一步：

因为这是我们安装的第一个CA服务器，所以我们选择跟CA，点击下一步：

在私钥类型处我们选择创建新的私钥，点击下一步:

加密类型出我们可以根据实际需求进行选择，在此我保持默认，直接点击下一步：

CA名称我们保持默认，点击下一步：

证书有效期我们可根据实际需求进行选择，在此我保持默认，选择5年，点击下一步：

证书数据库位置我保持默认，点击下一步：

系统给我们弹出了配置摘要，我们确定没有问题，点击配置：

配置开始，我们稍等其完成：

OK、配置成功，我们点击关闭。

验证CA证书服务器

1、 IIS

通过浏览器访问：http://IP地址或域名/certsrv

在此我们输入域用户名和密码，点击确定：

访问成功！

2、 证书颁发机构的管理工具：

打开服务器管理器，点击工具:

点击证书颁发机构：