請遵循下列步驟來設定 Active Directory 憑證服務(AD CS)。 這可讓您針對執行網路原則伺服器 (NPS)、路由和遠端訪問服務 (RRAS) 或兩者的伺服器發出伺服器證書。
先決條件
Enterprise Admins 和根域 Domain Admins 群組中的成員資格是完成此程式的最低需求。
安裝 Active Directory 憑證服務之前, 您必須為電腦命名、使用靜態 IP 位址設定計算機,並將電腦加入網域。
- 如需如何完成這些工作的詳細資訊,請參閱 Windows Server Core 網路元件。
- 若要執行此程式,您要安裝 AD CS 的電腦必須加入安裝 Active Directory 網域服務 (AD DS) 的網域。
使用 PowerShell 安裝 Active Directory 憑證服務
若要使用 Windows PowerShell 安裝 Active Directory 憑證服務,請完成下列步驟。
開啟 Windows PowerShell 並輸入下列命令,然後按 ENTER。
Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools安裝 AD CS 之後,輸入下列命令,然後按 ENTER。
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
如需此 Cmdlet 及其可用參數的詳細資訊,請參閱 Install-AdcsCertificationAuthority。
使用伺服器管理員安裝 Active Directory 憑證服務
若要使用伺服器管理員安裝 Active Directory 憑證服務,請完成下列步驟。
以 Enterprise Admins 群組與根網域的 Domain Admins 群組的成員身分登入。
在 [伺服器管理員] 中,選取 [ 管理],然後選取 [ 新增角色和功能] 以開啟 [新增角色和功能 精靈]。
在 [ 開始之前] 中,選取 [ 下一步]。
備註
如果您先前已預設選取 [略過此頁面],則不會顯示 [新增角色及功能精靈] 的 [開始之前] 頁面。
在 [選取安裝類型] 中,確定已選取 Role-Based 或功能型安裝 ,然後選取 [ 下一步]。
在 [選取目的地伺服器] 中,確認已選取 [從伺服器集區選取伺服器]。 在 [伺服器集區] 中,確定已選取本機電腦。 選取 下一步。
在 [選擇伺服器角色] 的 [角色] 中,選取 [Active Directory 憑證服務系統]。 當系統提示您新增必要的功能時,請選取 [ 新增功能],然後選取 [ 下一步]。
在 [選取功能] 中,選取 [ 下一步]。
在 [Active Directory 憑證服務] 中,讀取提供的資訊,然後選取 [ 下一步]。
在 [ 確認安裝選項] 中,選取 [ 安裝]。 請勿在安裝程式期間關閉精靈。 安裝完成時,請選取 目的地伺服器上的 [設定 Active Directory 憑證服務]。 AD CS 設定精靈隨即開啟。 讀取認證資訊,並視需要提供屬於 Enterprise Admins 群組成員之帳戶的認證。 選取 下一步。
在 [角色服務] 中,選取 [ 證書頒發機構單位],然後選取 [ 下一步]。
在 [ 設定類型 ] 頁面上,確認已選取 [企業 CA ],然後選取 [ 下一步]。
在 [ 指定 CA 的類型 ] 頁面上,確認已選取 根 CA ,然後選取 [ 下一步]。
在 [ 指定私鑰的類型 ] 頁面上,確認已選取 [ 建立新的私鑰 ],然後選取 [ 下一步]。
在 [CA 密碼編譯] 頁面上,保留 CSP 的預設設 (RSA#Microsoft 軟體機碼儲存提供者) 和雜湊演算法 (SHA2),並判斷部署的最佳機碼字元長度。 大型機碼字元長度可提供最佳安全性;不過,其可能會影響伺服器效能,而且可能會與繼承應用程式不相容。 建議您保留 2048 的預設設定。 選取 下一步。
在 [CA 名稱] 頁面上,維持建議的 CA 一般名稱,或依據您的需求變更名稱。 確定您確定 CA 名稱與命名慣例和用途相容,因為您無法在安裝 AD CS 之後變更 CA 名稱。 選取 下一步。
於 [指定有效期間] 中的 [有效期間] 頁面上,輸入數字並選取時間值 (年、月、星期或天)。 建議使用預設設定 5 年。 選取 下一步。
於 [指定資料庫位置] 中的 [CA 資料庫] 頁面上,指定憑證資料庫和憑證資料庫記錄的資料夾位置。 如果您指定的位置並非預設位置,請確定以存取控制清單 (ACL) 保護該資料夾的安全,以免未授權的使用者或電腦存取 CA 資料庫與記錄檔。 選取 下一步。
在 確認 中,選取 設定 以套用您的選擇,然後選取 關閉。