在将 IP 安全设置 (IPSec) 配置为通过证书颁发机构 (CA) 进行相互验证时，您必须获取一个本地计算机证书。可以从第三方 CA 获取此证书，也可以在 Windows 中安装证书服务以创建您自己的 CA。本文描述了如何从独立的 Windows CA 安装用于 IPSec 的本地计算机证书。

申请本地计算机证书需使用 HTTP。因为必须将本地计算机证书用于 IPSec，所以您必须向 CA 提交高级申请以指明这一点。

返回页首

从独立的 Windows 证书颁发机构安装本地计算机证书

1.	申请的内容是一个 Web 地址，其中包含证书服务器的 IP 地址或名称，后跟“/certsrv”。在 Web 浏览器中，键入以下 Web 地址 http://IP address of CA/certsrv 其中，IP address of CA 是证书服务器的 IP 地址或名称。
2.	在证书服务器的初始“欢迎”屏幕上，单击“申请一个证书”，然后单击下一步。
3.	在“选择申请类型”屏幕上，单击“高级申请”，然后单击下一步。
4.	在“高级证书申请”屏幕上，单击“使用表格向此 CA 提交证书申请”，然后单击下一步。
5.	在“高级证书申请”屏幕上，在相应的框中键入您的姓名和电子邮件地址。
6.	在预期目的下，选择客户端身份验证证书或 IPSec 证书。如果选择 IPSec 证书，则此证书将只用于 IPSec。
7.	在密钥选项下，单击“Microsoft Base Cryptographic Provider v1.0”，对于密钥用法单击签名，对于密钥大小单击 1024。
8.	使“创建新密钥集”选项处于启用状态（如果您不想指定具体的容器名称，可以清除容器名称复选框），然后单击“使用本地机器存储”。
9.	如果不需要进行特定的更改，应将所有其他选项设置为默认值。
10.	单击提交。
11.	如果将证书颁发机构配置为自动颁发证书，则应出现“证书已颁发”屏幕。单击“安装此证书”。应出现“证书已安装”屏幕，其中显示“您的新证书已经成功安装”这一消息。
12.	如果证书颁发机构未配置为自动颁发证书，则会出现“证书挂起”屏幕，要求您等候管理员颁发所申请的证书。要检索管理员已颁发的证书，请返回到该 Web 地址，然后单击“检查挂起的证书”。单击申请的证书，然后单击下一步。如果证书仍挂起，则会出现“证书挂起”屏幕。如果证书已经颁发，则会出现“安装此证书”屏幕。

返回页首

从 Windows 2000 企业证书颁发机构安装本地计算机证书

1.	申请的内容是一个 Web 地址，其中包括证书服务器的 IP 地址或名称，后跟“/certsrv”。在 Web 浏览器中，键入以下 Web 地址：http://IP address of CA/certsrv 其中，IP address of CA 是证书服务器的 IP 地址或名称。
2.	如果所使用的计算机尚未登录到域中，则会提示您提供域凭据。
3.	在证书服务器的初始“欢迎”屏幕上，单击申请一个证书，然后单击下一步。
4.	在选择申请类型屏幕上，单击高级申请，然后单击下一步。
5.	在高级证书申请屏幕上，单击“使用表格向此 CA 提交证书申请”，然后单击下一步。
6.	在高级证书申请屏幕上，为证书模板选项选择管理员。
7.	在密钥选项下，单击“Microsoft Base Cryptographic Provider v1.0”，对于密钥用法单击签名，对于密钥大小单击“1024”。
8.	使“创建新密钥集”选项处于启用状态（如果您不想指定具体的容器名称，可以清除“容器名称”复选框），然后单击“使用本地机器存储”。
9.	如果不需要进行特定的更改，应将所有其他选项设置为默认值。
10.	单击提交。
11.	应出现证书已颁发屏幕。单击安装此证书。证书已安装屏幕上应显示以下消息： 您的新证书已经成功安装

返回页首

验证本地计算机证书是否已经安装

在安装证书之后，使用 Microsoft 管理控制台 (MMC) 中的“证书（本地计算机）”管理单元验证证书的位置。您的证书应出现在个人下。

如果此处没有出现已安装的证书，则表明证书已经以“用户证书申请”的形式安装，或者表明您没有在高级申请中单击“使用本地机器存储”。

返回页首

有关在 Windows 中安装证书服务的信息，请参见下面的 Microsoft 知识库文章：

有关更多信息，请参见“Step-by-Step Guide to End-to-End Security:An Introduction to Internet Protocol”（端到端安全性的分步指南：Internet 协议简介）文档，该文档位于以下 Microsoft Web 站点：