您可以使用 Service Manager 向导设置 Windows Server 2012 证书颁发机构 (CA)。
以下是设置 Microsoft CA 的标准步骤。此处采用适用于实验室环境的简单形式对这些步骤进行了详细说明,但对于实际的生产系统,建议您遵循 CA 配置的行业最佳做法。
如果您需要有关设置 CA 的进一步指导,请查阅标准的 Microsoft 技术参考:《Active Directory 证书服务分步指南》和《安装根证书颁发机构》。
注: 本主题中的步骤适用于 Windows Server 2012 R2。Windows Server 2008 R2 采用的步骤与此非常类似。
过程
- 在服务器管理器仪表板中,单击添加角色和功能以打开向导,然后单击下一步。
- 在“选择安装类型”页面上,选择基于角色或基于功能的安装,然后单击下一步。
- 在“服务器选择”页面上,保留默认设置,然后单击下一步。
- 在“服务器角色”页面上:
- 选择“Active Directory 证书服务”。
- 在出现的对话框中,选择“包括管理工具”(如果适用),然后单击添加功能。
- 单击下一步。
- 在“功能”页面上,单击下一步。
- 在“AD CS”页面上,单击下一步。
- 在“角色服务”页面上,选择“证书颁发机构”,然后单击下一步。
- 在“确认”页面上,选择“如果需要,自动重新启动目标服务器”,然后单击安装。
此时会显示安装进度。安装完成后,系统会显示一个 URL 链接,允许您将新安装的 CA 配置为在目标服务器上“配置 Active Directory 证书服务”。
- 单击配置链接以启动配置向导。
- 在“凭据”页面上,输入企业管理员组的用户凭据,然后单击下一步。
- 在“角色服务”页面上,选择“CA”,然后单击下一步。
- 在“设置类型”页面上,选择“企业 CA”,然后单击下一步。
- 在“CA 类型”页面上,根据相应情况选择“根 CA”或“从属 CA”(在该示例中,它为根 CA),然后单击下一步。
- 在“私钥”页面上,选择“新建私钥”,然后单击下一步。
- 在“加密”页面上,输入如下信息。
| 字段 |
说明 |
| 加密提供程序 |
RSA#Microsoft 软件密钥存储提供程序 |
| 密钥长度 |
4096(如果愿意,也可以选择其他长度) |
| 哈希算法 |
SHA256(如果愿意,也可以选择其他 SHA 算法) |
- 在“CA 名称”页面上,配置为首选设置或接受默认设置,然后单击下一步。
- 在“有效期”页面上,配置为首选设置,然后单击下一步。
- 在“证书数据库”页面上,单击下一步。
- 在“确认”页面上,查看相应的信息并单击配置。
- 通过执行以下任务来完成配置过程(从命令提示符运行所有命令)。
- 配置 CA 以进行非永久证书处理
certutil –setreg DBFlags
+DBFLAGS_ENABLEVOLATILEREQUESTS
- 配置 CA 以忽略脱机 CRL 错误
certutil –setreg ca\CRLFlags
+CRLF_REVCHECK_IGNORE_OFFLINE
- 重新启动 CA 服务
net stop certsvc
net start certsvc
- 按照在 CA 中设置证书模板中的步骤在 CA 上设置一个证书模板。
