目录
1. 安装证书颁发机构
1.1 前提条件
- 安装ADCS的计算机必须拥有主机名,静态IP和加入了AD域(本教程在AD域中使用)。
- 完成此过程的最低要求是企业管理员和根域的域管理员组的成员身份。
1.2 步骤
以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录Windows Server
(1)打开【服务器管理器】,单击【添加角色和功能】。
(2)系统首先会提示,在安装之前需要完成的任务
(3)进入【选择安装类型】界面, 使用默认选项【基于角色或基于功能的安装】
(4)进入【Server Selection】界面, 选择【Select a server from the server pool】
(5)进入【Server Roles】 界面, 单击【Active Directory Certificate Services】 前面的复选框 ,此时系统会跳出来添加角色和功能的向导,点击【Add Features】
回到【Server Roles】界面,此时【Active Directory Certificate Services】已被勾选。
(6)进入【Features】界面, 不需要再添加额外的功能, 因此保持默认。
(7)进入【AD CS】界面, 该界面用于说明AD CS的作用及注意事项 。
(8)进入【Role Services】界面,勾选所有复选框。
必选项为【Certification Authority】和【Certification Authority Web Enrollment】
- 【Certification Authority】为ADCS主程序,是必备的。
- 【Certification Authority Web Enrollment】提供了一个简单的Web接口允许用户下载,请求,刷新证书。
(9)进入【Confirmaiton】 界面, 显示出前面所选择要安装的内容
(10)进入【Results】 界面, 安装过程需要等待一段时间,安装完成后可直接关闭安装程序,也可以点击【Configure Active Directory Certificate Services on the destination server】继续配置。
安装功能完成,点击【Configure Active Directory Certificate Services on the destination server】进入AD CS配置向导
2. 配置 AD CS
(1)打开配置界面
除了安装功能界面外,还可以通过下面的方法开启配置界面
(2)进入Credentials界面
保持默认即可。
(3)进入Role Services界面
根据实际情况勾选。
其中【Certification Authority】和【Certification Authority Web Enorllment】为必选项。
(4)指定CA设置类型
默认保持企业CA。
(5)设置CA类型
默认选择Root CA。
(6)指定私钥类型
(7)指定加密选项
如果产品对证书加密算法或Key长度有求,这里需要根据实际情况来选择。例如VMware vCenter对证书的要求是Key长度必须为2048或以上。
!
(7)指定CA名称
(8)指定证书有效期
设置证书颁发机构生成的证书有效期。
(9)指定 CA 数据库
- 证书数据库位置。
- 证书数据库日志位置。
(10)指定 CEP 的身份验证类型
选择 Windows 集成身份验证。
(11)确认配置信息
(12)确认配置结果
重启使之生效,此时ADCS安装和配置完成。
封面图出自:https://www.google.com/url?sa=i&url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3D_gvjlcmnw-o&psig=AOvVaw3QChoYVhy5P6fiUP5zK0LJ&ust=1690369165234000&source=images&cd=vfe&opi=89978449&ved=2ahUKEwip26r-2amAAxVc5zgGHV7bC80Qr4kDegUIARCOAg
参考资料
Microsoft Docs:Install the Certification Authority
关联博文
由于篇幅原因,关于Active Directory Certificate Services 证书颁发机构的安装,配置和管理的内容请查阅:
未完待续,请关注更新,谢谢。