分发证书

　　一个组织需要为客户或者厂商提供证书，有三个条件。首先，它可以创建自己的内部CA，以满足它自己的安全和可用性需要。第二，它可以将它的CA需求输出给第三方，例如VeriSign或者Thawte。第三，它可以与一个第三方的CA建立一个相连的CA，这样可允许该组织为终端用户建立证书，同时也可以保障第三方CA的安全性。

　　例如，一个厂商可能决定为它的员工建立证书，而办公室处于三个不同的州，或者一个顾问公司要为它的卖方建立证书以控制访问公司的外部网。这个例子中，该组织可以选择领先的厂商，例如BBN (GTE),Chrysalis或者Atalla购买安全的key管理硬件，或者选择购买证书授权软件，例如Microsoft, Xcert, 或者Nortel Entrust的。这些技术可以允许该组织根据其需要，建立一定安全级别的包含有客户信息的证书。

　　不幸的是，大多数的浏览器在开始的时候都不认识这些证书。每个需要检验证书可信性（这些证书由内部的CA建立）的浏览器都将需要被修改，以在签署证书的时候响应该组织的root key。这意味着每个Microsoft Internet Explorer, Microsoft Outlook和NetscapeCommunicator的拷贝都需要加入该组织CA的root key，而且必须在数据被这些证书签名前加入，这样它们才可以被信任。在一个小的或者可控制的环境下，这是没有问题的。不过在一个异类、多平台的环境下，例如Internet，这是不可能的。

　　一个相连的证书程序允许一个第三方的CA传送全部和第三方CA相关的信任到该组织的CA。所有信任第三方CA提供的数字证书的软件将会立刻信任相连CA建立的证书。

　　安装和设置证书服务

　　证书授权服务器是Windows 2000Server的一个附件，它放在Windows 2000 Server的安装盘上。它可让你为建立和管理X509版本3的数字证书创建一个自定制的服务以作证书之用。你可以为Internet或者公司的内部网创建服务器证书，从而可让你的组织完全控制它自己的证书管理策略。

　　它包含了一个向导来设置安装。要注意的是：你将需要在安装的时候提供精确的信息。在安装证书服务前先查看一下需要的信息。

　　要使用常用的设置选项来安装证书授权服务器附件，你可以使用以下的步骤：

　　1。将Windows 2000 Server CD-ROM放入光驱，然后选择Install Add-on Components.

　　2。Windows组件向导将会提示你选择安装哪些组件。选择证书服务的选择框。你将会马上看到一个对话框，提示你一旦安装证书服务，该计算机将不能重命名，也不能加入或者由一个域中移走。

　　在选择YES来继续前，你应该考虑一下以下几点：

　　由于在安装证书服务后，除非你重新安装Windows 2000，否则你将不能修改计算机的名字，因此你需要确保你对当前的名字感到满意，或者在继续前先换一个名字。

　　由于在安装证书服务后，你将不能令计算机加入到一个域或者将它由域中移走，你将需要确保你对当前域或者子域的名字感到满意，否则在继续前先换一个名字。

　　在继续前你要确保计算机加入到适当的域中

　　3。接着，在Windows组件向导中选择证书授权类型，有四种类型：

　　Enterprise root CA

　　Enterprise subordinate CA

　　Stand-alone root CA

　　Stand-alone subordinate CA