二 部署CA

　　客户机通过HTTPS协议访问RemoteApp服务器时，需要RemoteApp服务器上有证书支持。证书可以从商业CA申请，也可以在企业内部创建自己的CA。一般考虑到经济因素及使用便利，我们最好选择在企业内部创建自己的CA服务器。由于我们的实验环境中有Active Directory，我们决定在域控制器上部署一个企业根CA。

　　在DCSERVER的控制面板中打开添加或删除组件，如图6所示，在添加/删除Windows组件中勾选"证书服务"。
 

　　图6

　　如图7所示，在企业类型中选择"企业根CA"，企业根CA可以很好地和Active Directory结合，使用起来比独立根CA更方便。
 

　　图7

　　如图8所示，我们输入CA的公用名称，其他参数选择默认值即可。
 

　　图8

　　如图9所示，接下来需要设置证书数据库及数据库日志的存储路径，测试环境下使用默认值即可。
 

　　图9

　　企业根CA部署完成后，会自动通过组策略告知域内的计算机，以便让域内的计算机把企业根CA加入到受信任的证书颁发机构中。如果希望组策略尽快生效，可以在域内的计算机上运行 gpupdate/force。组策略生效后，我们可以用MMC控制台打开证书管理单元，看看企业根CA是否被信任。如图10所示，我们可以看到在XP客户机上，新创建的ContosoCA已经被加入到受信任的根证书颁发机构中了。
 

　　图10

　　如果CA服务器使用的是Windows Server 2003操作系统，那么CA服务器需要安装一个如图11所示的补丁。如果不安装这个补丁，Vista，Win7等客户机操作系统通过浏览器申请证书时会失败，屏幕上会提示正在下载Active X控件，但永远都无法完成。补丁的下载地址是http://support.microsoft.com/kb/922706/zh-cn。
 

　　图11