您可以使用 [Service Manager] 精靈來安裝 Windows Server 2012 憑證授權單位 (CA)。
執行這項作業的原因和時機
以下是安裝 Microsoft CA 的標準步驟。在此詳述的步驟是適用於實驗室環境的簡易形式,但對於實際生產系統,建議您依照 CA 組態的業界最佳做法進行操作。
如果您在安裝 CA 方面需要進一步的指導方針,請參閱標準 Microsoft 技術參考:《Active Directory 憑證服務逐步指南》和《安裝根憑證授權單位》。
備註︰
本主題中的程序適用於 Windows Server 2012 R2。在 Windows Server 2008 R2 上可遵循大致相同的步驟。
程序
- 在 [伺服器管理員] 儀表板上按一下新增角色及功能以開啟精靈,然後按下一步。
- 在 [選取安裝類型] 頁面上選取角色型或功能型安裝,然後按下一步。
- 在 [伺服器選取] 頁面上保留預設值,然後按下一步。
- 在 [伺服器角色] 頁面上:
- 選取 [Active Directory 憑證服務]。
- 在對話方塊中,選取 [包含管理工具] (如適用),然後按一下新增功能。
- 按下一步。
- 在 [功能] 頁面上,按下一步。
- 在 [AD CS] 頁面上,按下一步。
- 在 [角色服務] 頁面上選取 [憑證授權單位],然後按下一步。
- 在 [確認] 頁面上,選取 [必要時自動重新啟動目的地伺服器],然後按一下安裝。
安裝進度即會顯示。安裝完成後會顯示一個 URL 連結,讓您在目的地伺服器上將新安裝的 CA 設定為「設定 Active Directory 憑證服務」。
- 按一下組態連結以啟動組態精靈。
- 在 [認證] 頁面上,輸入「企業管理員」群組中的使用者認證,然後按下一步。
- 在 [角色服務] 頁面上選取 [CA],然後按下一步。
- 在 [安裝類型] 頁面上選取 [企業 CA],然後按下一步。
- 在 [CA 類型] 頁面上,視情況選取 [根 CA] 或 [次級 CA] (在此範例中為根 CA),然後按下一步。
- 在 [私密金鑰] 頁面上,選取 [建立新的私密金鑰],然後按下一步。
- 在 [密碼編譯] 頁面上,輸入如下資訊。
欄位 |
說明 |
密碼編譯提供者 |
RSA#Microsoft 軟體金鑰儲存提供者 |
金鑰長度 |
4096 (或根據您偏好的其他長度) |
雜湊演算法 |
SHA256 (或根據您偏好的其他 SHA 演算法) |
- 在 [CA 名稱] 頁面上,設定為慣用名稱或接受預設值,然後按下一步。
- 在 [有效期間] 頁面上設定為慣用期間,然後按下一步。
- 在 [憑證資料庫] 頁面上,按下一步。
- 在 [確認] 頁面上檢閱資訊,然後按一下設定。
- 執行下列工作 (從命令提示字元執行所有命令) 以完成組態程序。
- 設定 CA 以進行非持續性憑證處理
certutil –setreg DBFlags
+DBFLAGS_ENABLEVOLATILEREQUESTS
- 將 CA 設定為忽略離線 CRL 錯誤
certutil –setreg ca\CRLFlags
+CRLF_REVCHECK_IGNORE_OFFLINE
- 重新啟動 CA 服務
net stop certsvc
net start certsvc
