CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。CA在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。CRL：是被CA吊销的证书的列表。 基于WINDOWS的CA支持4种类型

企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。

企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA证书，企业从属CA需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA

独立根CA：独立根CA是证书层次结构中的最高级CA。独立根CA既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。

独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA证书，独立从属CA可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。

下面来部署CA

一台是独立根CA,一台是独立从属CA 安装独立根CA

选中应用程序服务器和证书服务.

由于\证书服务WEB注册支持\需要依赖于IIS,所以要选中应用程序服务. 点详细看一看

点确定

这里选独立根CA并打上勾.

单击导入,可以使用现有的密钥对,就不用生成新的密钥.

密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位. 如果不选\允许此CSP与桌面交互\系统服务就无法与当前用户的桌面进行交互.