按照以下步骤设置 Active Directory 证书服务(AD CS)。 这样,就可以为运行网络策略服务器(NPS)、路由和远程访问服务(RRAS)或两者的服务器颁发服务器证书。
Prerequisites
企业管理员和根域的域管理员组中的成员身份是完成此过程的最低要求。
安装 Active Directory 证书服务之前, 必须命名计算机、使用静态 IP 地址配置计算机,并将计算机加入域。
- 有关如何完成这些任务的详细信息,请参阅 Windows Server Core 网络组件。
- 若要执行此过程,必须将安装 AD CS 的计算机加入到安装了 Active Directory 域服务(AD DS)的域中。
使用 PowerShell 安装 Active Directory 证书服务
若要使用 Windows PowerShell 安装 Active Directory 证书服务,请完成以下步骤。
打开 Windows PowerShell 并键入以下命令,然后按 Enter。
Install-WindowsFeature -Name ADCS-Cert-Authority -IncludeManagementTools安装 AD CS 后,键入以下命令并按 Enter。
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
有关此 cmdlet 及其可用参数的详细信息,请参阅 Install-AdcsCertificationAuthority。
使用服务器管理器安装 Active Directory 证书服务
若要使用服务器管理器安装 Active Directory 证书服务,请完成以下步骤。
以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录。
在服务器管理器中,选择“ 管理”,然后选择“ 添加角色和功能 ”以打开“添加角色和功能向导”。
在 “开始之前”中,选择“ 下一步”。
Note
如果您之前选择过“默认跳过此页面”,则不会显示“添加角色和功能向导”的“开始之前”页面。
在 “选择安装类型”中,确保选中 Role-Based 或基于功能的安装 ,然后选择“ 下一步”。
在“选择目标服务器”中,确保选中“从服务器池中选择一个服务器”。 在 服务器池中,确保已选择本地计算机。 选择“下一步”。
在“选择服务器角色”的“角色”中,选择“Active Directory 证书服务”。 当系统提示添加所需功能时,请选择“ 添加功能”,然后选择“ 下一步”。
在 “选择功能”中,选择“ 下一步”。
在 Active Directory 证书服务中,读取提供的信息,然后选择“ 下一步”。
在 “确认安装选择”中,选择“ 安装”。 在安装过程中不要关闭向导。 安装完成后,选择 目标服务器上的“配置 Active Directory 证书服务”。 这将打开 AD CS 配置向导。 读取凭据信息,并根据需要提供作为企业管理员组成员的帐户的凭据。 选择“下一步”。
在 “角色服务”中,选择 “证书颁发机构”,然后选择“ 下一步”。
在 “设置类型 ”页上,验证是否选择了 “企业 CA ”,然后选择“ 下一步”。
在 “指定 CA”页的类型 上,验证是否选择了 根 CA ,然后选择“ 下一步”。
在 “指定私钥类型 ”页上,验证是否选择了“ 创建新私钥 ”,然后选择“ 下一步”。
在“CA 加密”页上,保留 CSP(RSA#Microsoft 软件密钥存储提供程序)和哈希算法 (SHA2) 的默认设置,并确定部署的最佳密钥字符长度。 大密钥字符长度提供最佳安全性,但会影响服务器性能并且可能与旧版应用程序不兼容。 建议保留默认设置 2048。 选择“下一步”。
在 “CA 名称 ”页上,保留 CA 的建议公用名,或根据要求更改名称。 确保 CA 名称与命名约定和用途兼容,因为安装 AD CS 后无法更改 CA 名称。 选择“下一步”。
在 “有效期 ”页上,在 “指定有效期”中,键入数字并选择时间值(年、月、周或天)。 建议的默认设置为五年。 选择“下一步”。
在 CA 数据库 页上,在 “指定数据库位置”中,指定证书数据库和证书数据库日志的文件夹位置。 如果指定默认位置之外的位置,请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。 选择“下一步”。
在 “确认”中,选择“ 配置 ”以应用你的选择,然后选择“ 关闭”。