Cài đặt Certificate Services ở chế độ Enterprise CA
Microsoft Certificate Services sẽ được cài đặt ở chế độ này trên chính domain controller. Có những thuận lơi khi cài CA ở chế độ Enterprise mode (ngược lại với Standalone mode) bao gồm:

• Chứng từ gốc của CA (root CA certificate) được tự động đưa vào vùng lưu trữ Certificate của Trusted Root Certification Authorities (certificate store) trên tất cả các máy thành viên của Domain (domain member). Các Computer thành viên của Domain khi dùng các giao dịch cần Certificates để nâng cao tính an toàn, có thể dễ dàng tìm các nhà cung cấp hơp pháp- CA servers, trong Trusted Root Certification Authorities trên Computer của mình.

• Các Clients này cũng dễ dàng dùng Certificates MMC snap-in (tại RUN , type mmc, chọn File, Add/Remove snap-in, Add, chọn Certificates), và dễ dàng dùng snap-in này để yêu cầu certificates từ CA Servers hoặc từ CA’s Websites

• Tất cả các Computer trong Domain có thể được phân chia Certificates đồng loạt thông qua tính năng Active Directory autoenrollment feature



Lưu ý rằng không nhất thiết phải cài CA ở Enterprise mode. Bạn có thể cài CA ở chế độ Standalone mode, nhưng trong Lab này chúng ta sẽ không đề cập standalone mode hoặc làm thế nào để xin cấp certificate từ một Standalone CA



Tiến hành các bước sau để cài đặt Enterprise CA trên Domain Controller EXCHANGE2003BE

1. Click Start, Control Panel. Click Add or Remove Programs.

2. Trong Add or Remove Programs, click Add/Remove Windows Components

3. Trên Windows Components page, kéo danh sách xuống và check vào Certificate Services checkbox. Click Yes trong Microsoft Certificate Services dialog box, thông báo rằng informing “you may not change the name of the machine or the machine’s domain membership while it is acting as a CA”. Như vậy là rất rõ ràng Bạn không thể thay đổi Computer Name hoặc thay đổi tư cách thành viên Domain của Computer này, sau khi đã cài CA service.Click Yes.

4. Click Next trên Windows Components page.

5. Trên CA Type page, chọn Enterprise root CA option và click Next.





6. Trên CA Identifying Information page, điền tên cho CA server này trong Common name của CA text box. Nên dùng tên dạng DNS host name của domain controller.



Trong text box này các bạn điền vào NetBIOS name của domain controller là EXCHANGE2003BE. Click

Next.





7. Nếu Computer này trước đây đã cài đặt một CA, bạn sẽ được hỏi “you wish to overwrite the existing key”, ghi đè lên các khóa đã tồn tại. Còn nếu bạn đã triển khai các CA khác trên Network có thể không nên overwrite các khóa hiện tại. Và nếu đây là CA đầu tiên, có thể chấp nhận overwrite the existing key. Trong ví dụ này chúng ta trước đó đã chưa cài CA trên Computer vì vậy không nhìn thấy dialog box thông báo như trên

8. Trong Certificate Database Settings page, dùng vị trí lưu trữ mặc định cho Certificate Database và Certificate database log text boxes. Click Next.

9. Click Yes trong Microsoft Certificate Services dialog box, bạn nhận được thông báo phải restart Internet

Information Services. Click Yes để stop service. Service sẽ được restart automatic.

10. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến I386 folder trong Copy file from text box và click OK.

11. Click Finish trên Completing the Windows Components Wizard page.

12. Đóng Add or Remove Programs.

Tại thời điểm này Enterprise CA có thể cấp phát certificates cho các Computer khác trong Domain thông qua autoenrollment, Certificates mmc snap-in, hoặc qua Web enrollment site. Trong hướng dẫn cấu hình ISA Server 2004

này, chúng ta sẽ cấp phát một Web site certificate cho OWA Web site và cũng cấp phát các Computer certificates cho ISA Server 2004 Firewall computer và cho các external VPN

client và VPN gateway (VPN router) machine.