如果尚未设置证书颁发机构,则必须将 Active Directory 证书服务 (Active Directory Certificate Service, AD CS) 角色添加到 Windows 服务器,并将该服务器配置为企业 CA。

前提条件

如果您当前已有 Microsoft 证书服务实例,请考虑是否为 True SSO 设置子 CA。要了解为使现有实例支持 True SSO 而需进行的更改,请参阅 VMware 知识库 (KB) 文章 https://kb.vmware.com/s/article/2149312

如果您当前没有 Microsoft 证书服务实例,请查阅相应 Microsoft 文档以确定要使用的部署类型。要查看相应 Microsoft 文档,请在 Microsoft 文档(位于 https://docs.microsoft.com)中搜索“服务器证书部署概述”字符串。

要部署新的根证书颁发机构,请在 Microsoft 文档(位于 https://docs.microsoft.com)中搜索“安装证书颁发机构”字符串。

过程

  1. 打开命令提示符,然后输入以下命令以针对非永久证书处理配置 CA: 
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  2. (可选) 如果允许根 CA CRL 过期,请输入以下命令以防止服务中断: 
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    注: 如果 True SSO 使用的根 CA 保持脱机状态,可能需要使用此设置。如果您计划使根 CA 保持联机状态,或者您拥有使根 CA CRL 保持最新状态的自动过程,则可以跳过此设置。
  3. 输入以下命令以重新启动该服务: 
    sc stop certsvc
sc start certsvc

下一步做什么

创建证书模板。请参阅 创建用于 True SSO 的证书模板