如果您尚未設定憑證授權單位,則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Windows Server,並將該伺服器設定為企業 CA。

執行這項作業的原因和時機

如果您已設定企業 CA,請確認您使用的是本程序中說明的設定。

您必須至少有一個企業 CA,而 VMware 建議具備兩個,以供容錯移轉和負載平衡之用。您要建立來用於 True SSO 的註冊伺服器會與企業 CA 通訊。如果您設定註冊伺服器為使用多個企業 CA,則註冊伺服器會在可用的 CA 間輪流使用。如果在主控企業 CA 的同一部機器上安裝註冊伺服器,您可設定註冊伺服器為優先使用本機 CA。建議使用此組態,以獲得最佳效能。

此程序中有一部分涉及啟用非持續性憑證處理。依預設,憑證處理包括在 CA 資料庫中儲存每個憑證要求與已核發憑證的記錄。持續的大量要求會提高 CA 資料庫的增長速度,若未加以監控,可能會耗用掉所有可用的磁碟空間。啟用非持續性憑證處理有助於降低 CA 資料庫的增長速度,以及進行資料庫管理工作的頻率。

先決條件

  • 建立 Windows Server 2008 R2 或 Windows Server 2012 R2 虛擬機器。

  • 確認虛擬機器屬於 Horizon 7 部署之 Active Directory 網域的一部分。

  • 確認您使用的是 IPv4 環境。此功能目前在 IPv6 環境中不受支援。

  • 確認系統具有靜態 IP 位址。

程序

  1. 以管理員身分登入虛擬機器作業系統,並啟動伺服器管理員。
  2. 選取用於新增角色的設定。

    作業系統

    選取項目

    Windows Server 2012 R2

    1. 選取新增角色及功能

    2. 在 [選取安裝類型] 頁面上,選取角色型或功能型安裝

    3. 在 [選取目的地伺服器] 頁面上,選取伺服器。

    Windows Server 2008 R2

    1. 選取導覽樹狀結構中的角色

    2. 按一下新增角色以啟動新增角色精靈。

  3. 在 [選取伺服器角色] 頁面上,選取 Active Directory 憑證服務
  4. 在新增角色及功能精靈中,按一下新增功能並保持選取包括管理工具核取方塊。
  5. 在 [選取功能] 頁面上,接受預設值。
  6. 在 [選取角色服務] 頁面上,選取憑證授權單位
  7. 依照提示完成安裝。
  8. 安裝完成時,在 [安裝進度] 頁面上,按一下設定目的地伺服器上的 Active Directory 憑證服務連結,開啟 [AD CS 設定] 精靈。
  9. 在 [認證] 頁面上按下一步,依下表所述完成 [AD CS 設定] 精靈頁面。

    選項

    動作

    角色服務

    選取憑證授權單位,然後按下一步 (而非設定)。

    安裝類型

    選取企業 CA

    CA 類型

    選取根 CA次級 CA。有些企業偏好兩層 PKI 部署。如需詳細資訊,請參閱 http://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx

    私密金鑰

    選取建立新的私密金鑰

    CA 的密碼編譯

    對於雜湊演算法,您可選取 SHA1SHA256SHA384SHA512。對於金鑰長度,您可選取 1024204830724096

    VMware 建議最低設定 SHA256 和 2048 金鑰。

    CA 名稱

    接受預設值或變更名稱。

    有效期間

    接受 5 年的預設值。

    憑證資料庫

    接受預設值。

  10. 在 [確認] 頁面上,按一下設定,當精靈報告組態成功時,關閉精靈。
  11. 開啟命令提示字元並輸入下列命令,以設定非持續性憑證處理的 CA:

    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS

  12. 輸入下列命令,忽略 CA 上的離線 CRL (憑證撤銷清單) 錯誤:
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

    此旗標為必要,因為 True SSO 使用的根憑證會經常離線,因而撤銷檢查會失敗,但這是正常的。

  13. 輸入以下命令重新啟動服務:
    sc stop certsvc
    sc start certsvc

下一步

建立憑證範本。請參閱 建立與 True SSO 搭配使用的憑證範本