配置 Windows Server 2003 Enterprise Edition 以颁发证书模板

　　由于只有 Windows Server 2003 Enterprise Edition 支持第 2 版的证书模板，因此它是证书部署所必需的。必须要配置 Windows Server 2003 Enterprise Edition 以同时颁发限定从属签名证书模板和交叉证书颁发机构证书模板。

　　1.以 CA 管理员的身份登录到运行 Windows Server 2003 Enterprise Edition、并将证书服务配置为企业 CA 的机器上。

　　2.在“开始”菜单上，指向“程序”，指向“管理工具”，然后单击“证书颁发机构”。

　　3.在控制台树中，展开“CAName”(这里 CAName 是赋予 CA 的逻辑名称)。

　　4.在控制台树中，右键单击“证书模板”，指向“新建”，然后单击“要颁发的证书模板”。

　　5.在“启用证书模板”对话框(图 37)的可用模板列表中，单击“交叉证书颁发机构”，并按住 Ctrl 单击“限定从属签名”，然后单击“确定”。

　　图 37：加载交叉证书颁发机构和限定从属签名证书

　　6.在详细信息窗格中，确保出现“交叉证书颁发机构”和“限定从属签名”证书。

　　7.关闭“证书颁发机构”控制台。

　　获取限定从属签名证书

　　虽然通常使用“证书 MMC”控制台从企业 CA 申请证书，但“限定从属签名”证书模板中对 CA 证书管理程序审批的要求却使“证书服务 Web 注册”页的使用成为获取“限定从属签名”证书的一个更好的方法。

　　执行初始的证书申请

　　执行限定从属签名证书的初始申请

　　1.确保您已作为某一用户登录，该用户必须具有“限定从属签名证书模板”的“注册”权限。

　　2.启动 Internet Explorer。

　　3.打开 http://CAMachineName/certsrv URL(这里 CAMachineName 是配置颁发“限定从属签名证书”的 Windows Server 2003 Enterprise Edition 的名称)。

　　4.在“欢迎”页上单击“申请一个证书”。

　　5.在“申请一个证书”页面上，单击“高级证书申请”。

　　6.在“高级证书申请”页上单击“创建并向此 CA 提交一个申请”。

　　7.在“高级证书申请”页的“证书模板”部分的列表中选择“限定从属签名”。