您可以使用 Service Manager 向导设置 Windows Server 2012 证书颁发机构 (CA)。

以下是设置 Microsoft CA 的标准步骤。此处采用适用于实验室环境的简单形式对这些步骤进行了详细说明,但对于实际的生产系统,建议您遵循 CA 配置的行业最佳做法。

如果您需要有关设置 CA 的进一步指导,请查阅标准的 Microsoft 技术参考:《Active Directory 证书服务分步指南》和《安装根证书颁发机构》。

注: 本主题中的步骤适用于 Windows Server 2012 R2。Windows Server 2008 R2 采用的步骤与此非常类似。

过程

  1. 在服务器管理器仪表板中,单击添加角色和功能以打开向导,然后单击下一步
  2. 在“选择安装类型”页面上,选择基于角色或基于功能的安装,然后单击下一步
  3. 在“服务器选择”页面上,保留默认设置,然后单击下一步
  4. 在“服务器角色”页面上:
    1. 选择“Active Directory 证书服务”。
    2. 在出现的对话框中,选择“包括管理工具”(如果适用),然后单击添加功能
    3. 单击下一步
  5. 在“功能”页面上,单击下一步
  6. 在“AD CS”页面上,单击下一步
  7. 在“角色服务”页面上,选择“证书颁发机构”,然后单击下一步
  8. 在“确认”页面上,选择“如果需要,自动重新启动目标服务器”,然后单击安装
    此时会显示安装进度。安装完成后,系统会显示一个 URL 链接,允许您将新安装的 CA 配置为在目标服务器上“配置 Active Directory 证书服务”。
  9. 单击配置链接以启动配置向导。
  10. 在“凭据”页面上,输入企业管理员组的用户凭据,然后单击下一步
  11. 在“角色服务”页面上,选择“CA”,然后单击下一步
  12. 在“设置类型”页面上,选择“企业 CA”,然后单击下一步
  13. 在“CA 类型”页面上,根据相应情况选择“根 CA”或“从属 CA”(在该示例中,它为根 CA),然后单击下一步
  14. 在“私钥”页面上,选择“新建私钥”,然后单击下一步
  15. 在“加密”页面上,输入如下信息。
    字段 说明
    加密提供程序 RSA#Microsoft 软件密钥存储提供程序
    密钥长度 4096(如果愿意,也可以选择其他长度)
    哈希算法 SHA256(如果愿意,也可以选择其他 SHA 算法)
  16. 在“CA 名称”页面上,配置为首选设置或接受默认设置,然后单击下一步
  17. 在“有效期”页面上,配置为首选设置,然后单击下一步
  18. 在“证书数据库”页面上,单击下一步
  19. 在“确认”页面上,查看相应的信息并单击配置
  20. 通过执行以下任务来完成配置过程(从命令提示符运行所有命令)。
    1. 配置 CA 以进行非永久证书处理
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. 配置 CA 以忽略脱机 CRL 错误
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. 重新启动 CA 服务
      net stop certsvc
      net start certsvc

后续步骤

在 CA 中设置证书模板