通过

在 Windows Server 上安装证书颁发机构

按照以下步骤设置 Active Directory 证书服务(AD CS)。 这样,就可以为运行网络策略服务器(NPS)、路由和远程访问服务(RRAS)或两者的服务器颁发服务器证书。

Prerequisites

  • Membership in both the Enterprise Admins and the root domain's Domain Admins group is the minimum requirement to complete this procedure.

  • 安装 Active Directory 证书服务之前, 必须命名计算机、使用静态 IP 地址配置计算机,并将计算机加入域

    • 有关如何完成这些任务的详细信息,请参阅 Windows Server Core 网络组件
    • 若要执行此过程,必须将安装 AD CS 的计算机加入到安装了 Active Directory 域服务(AD DS)的域中。

使用 PowerShell 安装 Active Directory 证书服务

若要使用 Windows PowerShell 安装 Active Directory 证书服务,请完成以下步骤。

  1. 打开 Windows PowerShell 并键入以下命令,然后按 Enter。

    Install-WindowsFeature -Name ADCS-Cert-Authority -IncludeManagementTools

  2. 安装 AD CS 后,键入以下命令并按 Enter。

    Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

For more information about this cmdlet, and its available parameters, see Install-AdcsCertificationAuthority.

使用服务器管理器安装 Active Directory 证书服务

若要使用服务器管理器安装 Active Directory 证书服务,请完成以下步骤。

  1. 以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录。

  2. In Server Manager, select Manage, and then select Add Roles and Features to open the Add Roles and Features Wizard.

  3. “开始之前”中,选择“ 下一步”。

    Note

    如果您之前选择过“默认跳过此页面”,则不会显示“添加角色和功能向导”的“开始之前”页面。

  4. “选择安装类型”中,确保选中 Role-Based 或基于功能的安装 ,然后选择“ 下一步”。

  5. 在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”。 In Server Pool, ensure that the local computer is selected. Select Next.

  6. 在“选择服务器角色”的“角色”中,选择“Active Directory 证书服务”。 When you're prompted to add required features, select Add Features, and then select Next.

  7. In Select features, select Next.

  8. Active Directory 证书服务中,读取提供的信息,然后选择“ 下一步”。

  9. “确认安装选择”中,选择“ 安装”。 在安装过程中不要关闭向导。 安装完成后,选择 目标服务器上的“配置 Active Directory 证书服务”。 这将打开 AD CS 配置向导。 读取凭据信息,并根据需要提供作为企业管理员组成员的帐户的凭据。 Select Next.

  10. In Role Services, select Certification Authority, and then select Next.

  11. On the Setup Type page, verify that Enterprise CA is selected, and then select Next.

  12. “指定 CA”页的类型 上,验证是否选择了 根 CA ,然后选择“ 下一步”。

  13. “指定私钥类型 ”页上,验证是否选择了“ 创建新私钥 ”,然后选择“ 下一步”。

  14. 在“CA 加密”页上,保留 CSP(RSA#Microsoft 软件密钥存储提供程序)和哈希算法 (SHA2) 的默认设置,并确定部署的最佳密钥字符长度。 大密钥字符长度提供最佳安全性,但会影响服务器性能并且可能与旧版应用程序不兼容。 建议保留默认设置 2048。 Select Next.

  15. On the CA Name page, keep the suggested common name for the CA or change the name according to your requirements. 确保 CA 名称与命名约定和用途兼容,因为安装 AD CS 后无法更改 CA 名称。 Select Next.

  16. On the Validity Period page, in Specify the validity period, type the number and select a time value (Years, Months, Weeks, or Days). 建议的默认设置为五年。 Select Next.

  17. On the CA Database page, in Specify the database locations, specify the folder location for the certificate database and the certificate database log. 如果指定默认位置之外的位置,请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。 Select Next.

  18. In Confirmation, select Configure to apply your selections, and then select Close.