如果您尚未設定憑證授權機構,則必須新增 Active Directory 憑證服務 (AD CS) 角色至 Windows Server,並將該伺服器設定為企業 CA。

必要條件

如果您有現有的 Microsoft 憑證服務執行個體,請考慮是否要為 True SSO 設定子 CA。若要瞭解現有執行個體支援 True SSO 所需的變更,請參閱 VMware 知識庫 (KB) 文章 https://kb.vmware.com/s/article/2149312

如果您沒有現有的 Microsoft 憑證服務執行個體,請參閱 Microsoft 說明文件以決定要使用的部署類型。若要查看 Microsoft 說明文件,請在 https://docs.microsoft.com 提供的 Microsoft 說明文件中搜尋字串「伺服器憑證部署概觀」。

若要部署新的根憑證授權機構,請在 https://docs.microsoft.com 提供的 Microsoft 說明文件中搜尋字串「安裝憑證授權機構」。

程序

  1. 開啟命令提示字元並輸入下列命令,以設定非持續性憑證處理的 CA: 
    certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS
  2. (選擇性) 如果允許根 CA CRL 過期,請輸入下列命令以防止服務中斷: 
    certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    備註: 如果 True SSO 使用的根 CA 保持離線狀態,可能需要使用此設定。如果您計劃使根 CA 保持連線狀態,或者您擁有使根 CA CRL 保持最新狀態的自動程序,則可以略過此設定。
  3. 輸入以下命令重新啟動服務: 
    sc stop certsvc
sc start certsvc

下一步

建立憑證範本。請參閱 建立與 True SSO 搭配使用的憑證範本