由于证书注册WEB服务的部署方法，和CA与证书注册WEB服务是否安装在同一台计算机，以及安装过程中身份验证方式的选择有关，

以下CA与证书注册WEB服务安装在同一台计算机的设置过程。

实验环境：

所有操作在虚拟机上完成。

本实验使用了两台安装了Windows Server 2008 R2的计算机，其中计算机DCSRV01，DC，实验前已给安装了CA。计算机Client01,已加入到域。

操作步骤。

以下操作过程在DCSRV01上完成。

打开活动目录用户和计算机，增加一个用户CAservice,并将它加入到IIS_USERS组。这个用户将用作服务账号

安装证书注册策略WEB服务

选择Windows集中身份验证。

选择证书。

打开IIS管理器，查看安装后的变化。网站绑定了SSL证书。

查看应用程序池（标识）

编辑“应用程序设置”中的“FriendlyName”的值为”Hbsycsrsj.COM”

将“URL”的值复制为另外一个文本文件。这个值后面将用到。

继续安装证书注册WEB服务

将服务账户凭据设置成前面建立的用户 CAService

打开IIS管理器，查看安装后的变化。

启用HbsycsrsjCA_CES_Kerberos身份验证、高级设置中的内核模式身份验证。

打开组策略管理控制台，编辑默认的域策略。

依次选择计算机策略、Windows设置、安全设置、公钥策略，证书服务客户端-证书注册策略。

选择配置型号中的已启用。如下图

删除上图中的活动目录注册策略。然后选择添加。

粘贴前面复制成文本文件中的URL值。选择验证，如果成功如下图。

 

在用户配置下进行相应的设置

安装Windows 修补程序KB2545850，重启计算机

注意Windows 7和Windows 2008计算机需要安装这个补丁，否则，申请证书时可能会出现如下图错误。

安装补丁、重启计算机后，运行MMC，添加“证书”管理单元，选择“用户”或“计算机”。

打开“个人”“证书”，选择申请证书。

申请过程中，在选择“证书注册策略”，选择如下图属性，会发现如下变化。

下图是在DC的申请过程。

申请成功。

本文转自ycrsjxy51CTO博客，原文链接：http://blog.51cto.com/ycrsjxy/1010761，如需转载请自行联系原作者