安装证书颁发机构
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
可以使用此过程安装 Active Directory 证书服务 (AD CS),以便可以将服务器证书注册到运行网络策略服务器 (NPS)、路由和远程访问服务 (RRAS) 或同时运行这两者的服务器。
重要
- 在安装 Active Directory 证书服务之前,必须命名计算机、使用静态 IP 地址配置计算机并将计算机加入域。 若要详细了解如何完成这些任务,请参阅 Windows Server 2016 核心网络指南。
- 若要执行此过程,要安装 AD CS 的计算机必须加入安装 Active Directory 域服务 (AD DS) 的域。
企业管理员和根域的域管理员组中的成员身份都是完成此过程所需的最低要求。
注意
若要使用 Windows PowerShell 执行此过程,请打开 Windows PowerShell 并键入以下命令,然后按 Enter。
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools
安装 AD CS 后,键入以下命令并按 Enter。
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
安装 Active Directory 证书服务的步骤
提示
如果想使用 Windows PowerShell 安装 Active Directory 证书服务,请参阅 Install-AdcsCertificationAuthority 以了解 cmdlet 和可选参数。
以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录。
在“服务器管理器”中,单击“管理”,然后单击“添加角色和功能”。 “添加角色和功能向导”将打开。
在“准备工作”中,单击“下一步”。
注意
如果以前运行“添加角色和功能向导”时选择了“默认跳过此页”,则“添加角色和功能向导”的“准备工作”页不会显示。
在“选择安装类型”中,确保选中“基于角色或基于功能的安装”,然后单击“下一步”。
在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”。 在“服务器池”中,确保选中了本地计算机。 单击“下一步”。
在“选择服务器角色”的“角色”中,选择“Active Directory 证书服务”。 当系统提示你添加所需功能的时候,单击“添加功能”,然后单击“下一步”。
在“选择功能”中,单击“下一步”。
在“Active Directory 证书服务”中,读取提供的信息,然后单击“下一步”。
在“确认安装选择”中,单击“安装”。 请勿在安装过程中关闭向导。 完成安装后,单击“在目标服务器上配置 Active Directory 证书服务”。 这将打开 AD CS 配置向导。 读取凭据信息,并根据需要提供作为企业管理员组成员的帐户的凭据。 单击“下一步”。
在“角色服务”中,单击“证书颁发机构”,然后单击“下一步”。
在“安装类型”页上,验证是否选择了“企业 CA”,然后单击“下一步”。
在“指定 CA 类型”页上,验证是否选择了“根 CA”,然后单击“下一步”。
在“指定私钥类型”页上,验证是否选择了“创建新的私钥”,然后单击“下一步”。
在“CA 加密”页上,保留 CSP(RSA#Microsoft 软件密钥存储提供程序)和哈希算法 (SHA2) 的默认设置,并确定部署的最佳密钥字符长度。 大密钥字符长度提供最佳安全性,但会影响服务器性能并且可能与旧版应用程序不兼容。 建议保留默认设置 2048。 单击“下一步”。
在“CA 名称”页上,保留 CA 的建议公用名,或根据要求更改名称。 请确保 CA 名称与命名约定和用途兼容,因为在安装 AD CS 后无法更改 CA 名称。 单击“下一步”。
在“有效期”页的“指定有效期”中,键入数字并选择一个时间值(年、月、周或日)。 建议的默认设置为五年。 单击“下一步”。
在“CA 数据库”页上的“指定数据库位置”中,指定证书数据库和证书数据库日志的文件夹位置。 如果指定默认位置之外的位置,请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。 单击“下一步”。
在“确认”中,单击“配置”以应用所做的选择,然后单击“关闭”。