如果您尚未設定憑證授權機構,則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Windows Server,並將該伺服器設定為企業 CA。

必要條件

如果您有現有的 Microsoft 憑證服務執行個體,請考慮是否要為 True SSO 設定子 CA。若要瞭解現有執行個體支援 True SSO 所需的變更,請參閱 VMware 知識庫 (KB) 文章 https://kb.vmware.com/s/article/2149312

如果您沒有現有的 Microsoft 憑證服務執行個體,請參閱 Microsoft 說明文件以決定要使用的部署類型。若要查看 Microsoft 說明文件,請在 https://docs.microsoft.com 提供的 Microsoft 說明文件中搜尋字串「伺服器憑證部署概觀」。

若要部署新的根憑證授權機構,請在 https://docs.microsoft.com 提供的 Microsoft 說明文件中搜尋字串「安裝憑證授權機構」。

程序

  1. 開啟命令提示字元並輸入下列命令,以設定非持續性憑證處理的 CA:
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS 
  2. (選擇性) 輸入下列命令,忽略 CA 上的離線 CRL (憑證撤銷清單) 錯誤:
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    備註: 若要防止撤銷檢查失敗,通常需進行此設定,因為 True SSO 所使用的根憑證授權機構通常會處於離線狀態。不過,如果您想要讓根憑證授權機構保持在線上狀態,您可以略過此設定。
  3. 輸入以下命令重新啟動服務:
    sc stop certsvc
    sc start certsvc

下一步

建立憑證範本。請參閱 建立與 True SSO 搭配使用的憑證範本