您可以使用 [Service Manager] 精靈來安裝 Windows Server 2012 憑證授權單位 (CA)。

以下是安裝 Microsoft CA 的標準步驟。在此詳述的步驟是適用於實驗室環境的簡易形式,但對於實際生產系統,建議您依照 CA 組態的業界最佳做法進行操作。

如果您在安裝 CA 方面需要進一步的指導方針,請參閱標準 Microsoft 技術參考:《Active Directory 憑證服務逐步指南》和《安裝根憑證授權單位》。

備註: 本主題中的程序適用於 Windows Server 2012 R2。在 Windows Server 2008 R2 上可遵循大致相同的步驟。

程序

  1. 在 [伺服器管理員] 儀表板上按一下新增角色及功能以開啟精靈,然後按下一步
  2. 在 [選取安裝類型] 頁面上選取角色型或功能型安裝,然後按下一步
  3. 在 [伺服器選取] 頁面上保留預設值,然後按下一步
  4. 在 [伺服器角色] 頁面上:
    1. 選取 [Active Directory 憑證服務]。
    2. 在對話方塊中,選取 [包含管理工具] (如適用),然後按一下新增功能
    3. 下一步
  5. 在 [功能] 頁面上,按下一步
  6. 在 [AD CS] 頁面上,按下一步
  7. 在 [角色服務] 頁面上選取 [憑證授權單位],然後按下一步
  8. 在 [確認] 頁面上,選取 [必要時自動重新啟動目的地伺服器],然後按一下安裝
    安裝進度即會顯示。安裝完成後會顯示一個 URL 連結,讓您在目的地伺服器上將新安裝的 CA 設定為「設定 Active Directory 憑證服務」。
  9. 按一下組態連結以啟動組態精靈。
  10. 在 [認證] 頁面上,輸入「企業管理員」群組中的使用者認證,然後按下一步
  11. 在 [角色服務] 頁面上選取 [CA],然後按下一步
  12. 在 [安裝類型] 頁面上選取 [企業 CA],然後按下一步
  13. 在 [CA 類型] 頁面上,視情況選取 [根 CA] 或 [次級 CA] (在此範例中為根 CA),然後按下一步
  14. 在 [私密金鑰] 頁面上,選取 [建立新的私密金鑰],然後按下一步
  15. 在 [密碼編譯] 頁面上,輸入如下資訊。
    欄位 說明
    密碼編譯提供者 RSA#Microsoft 軟體金鑰儲存提供者
    金鑰長度 4096 (或根據您偏好的其他長度)
    雜湊演算法 SHA256 (或根據您偏好的其他 SHA 演算法)
  16. 在 [CA 名稱] 頁面上,設定為慣用名稱或接受預設值,然後按下一步
  17. 在 [有效期間] 頁面上設定為慣用期間,然後按下一步
  18. 在 [憑證資料庫] 頁面上,按下一步
  19. 在 [確認] 頁面上檢閱資訊,然後按一下設定
  20. 執行下列工作 (從命令提示字元執行所有命令) 以完成組態程序。
    1. 設定 CA 以進行非持續性憑證處理
      certutil –setreg DBFlags 
      +DBFLAGS_ENABLEVOLATILEREQUESTS
    2. 將 CA 設定為忽略離線 CRL 錯誤
      certutil –setreg ca\CRLFlags 
      +CRLF_REVCHECK_IGNORE_OFFLINE
    3. 重新啟動 CA 服務
      net stop certsvc
      net start certsvc

後續步驟

設定 CA 上的憑證範本