Udostępnij przez

Instalowanie urzędu certyfikacji w systemie Windows Server

Wykonaj następujące kroki, aby skonfigurować usługi certyfikatów Active Directory (AD CS). Umożliwia to wystawianie certyfikatów serwera dla serwerów z uruchomionym serwerem zasad sieciowych (NPS), routingiem i usługą dostępu zdalnego (RRAS) lub obu tych serwerów.

Prerequisites

  • Członkostwo zarówno w grupie Administratorzy przedsiębiorstwa , jak i Administratorzy domeny głównej jest minimalnym wymaganiem do wykonania tej procedury.

  • Przed zainstalowaniem usług certyfikatów Active Directory należy nazwać komputer, skonfigurować komputer przy użyciu statycznego adresu IP i dołączyć komputer do domeny.

    • Aby uzyskać więcej informacji na temat wykonywania tych zadań, zobacz Składniki sieciowe systemu Windows Server Core.
    • Aby wykonać tę procedurę, komputer, na którym instalujesz usługę AD CS, musi być przyłączony do domeny, w której zainstalowano usługi Active Directory Domain Services (AD DS).

Instalowanie usług certyfikatów Active Directory przy użyciu programu PowerShell

Aby zainstalować usługi certyfikatów Active Directory za pomocą programu Windows PowerShell, wykonaj następujące kroki.

  1. Otwórz program Windows PowerShell i wpisz następujące polecenie, a następnie naciśnij ENTER.

    Install-WindowsFeature -Name ADCS-Cert-Authority -IncludeManagementTools

  2. Po zainstalowaniu usług AD CS wpisz następujące polecenie i naciśnij ENTER.

    Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Aby uzyskać więcej informacji na temat tego polecenia cmdlet i jego dostępnych parametrów, zobacz Install-AdcsCertificationAuthority.

Instalowanie usług certyfikatów Active Directory przy użyciu Menedżera serwera

Aby zainstalować usługi certyfikatów Active Directory za pomocą Menedżera serwera, wykonaj następujące kroki.

  1. Zaloguj się jako członek grupy Administratorzy przedsiębiorstwa i grupy Administratorzy domeny głównej.

  2. W Menedżerze serwera wybierz pozycję Zarządzaj, a następnie wybierz pozycję Dodaj role i funkcje , aby otworzyć Kreatora dodawania ról i funkcji.

  3. W obszarze Przed rozpoczęciem wybierz pozycję Dalej.

    Note

    Strona Przed rozpoczęciem Kreatora dodawania ról i funkcji nie jest wyświetlana, jeśli wcześniej została wybrana opcja Pomiń tę stronę domyślnie.

  4. W obszarze Wybierz typ instalacji upewnij się, że wybrano Role-Based lub instalację opartą na funkcjach , a następnie wybierz przycisk Dalej.

  5. W obszarze Wybierz serwer docelowy upewnij się, że wybrano pozycję Wybierz serwer z puli serwerów . Upewnij się, że w puli serwerów wybrano komputer lokalny. Wybierz Dalej.

  6. W obszarze Wybieranie ról serwera w obszarze Role wybierz pozycję Usługi certyfikatów Active Directory. Po wyświetleniu monitu o dodanie wymaganych funkcji wybierz pozycję Dodaj funkcje, a następnie wybierz przycisk Dalej.

  7. W obszarze Wybierz funkcje wybierz pozycję Dalej.

  8. W usługach certyfikatów Active Directory przeczytaj podane informacje, a następnie wybierz przycisk Dalej.

  9. W obszarze Potwierdzanie wyboru instalacji wybierz pozycję Zainstaluj. Nie zamykaj kreatora podczas procesu instalacji. Po zakończeniu instalacji wybierz pozycję Konfiguruj usługi certyfikatów Active Directory na serwerze docelowym. Zostanie otwarty kreator konfiguracji usług AD CS. Przeczytaj informacje o poświadczeniach i w razie potrzeby podaj poświadczenia dla konta, które jest członkiem grupy Administratorzy przedsiębiorstwa. Wybierz Dalej.

  10. W obszarze Usługi ról wybierz pozycję Urząd certyfikacji, a następnie wybierz pozycję Dalej.

  11. Na stronie Typ instalacji sprawdź, czy jest zaznaczony Enterprise CA, a następnie wybierz Dalej.

  12. Na stronie Określ typ urzędu certyfikacji sprawdź, czy wybrano Urząd Certyfikacji Główny, a następnie wybierz Dalej.

  13. Na stronie Określanie typu klucza prywatnego sprawdź, czy wybrano pozycję Utwórz nowy klucz prywatny , a następnie wybierz przycisk Dalej.

  14. Na stronie Kryptografia urzędu certyfikacji zachowaj ustawienia domyślne dostawcy usług kryptograficznych (RSA#Microsoft Software Key Storage Provider) i algorytmu wyznaczania wartości skrótu (SHA2) i określ najlepszą długość klucza dla danego wdrożenia. Duże długości znaków klucza zapewniają optymalne zabezpieczenia; mogą jednak mieć wpływ na wydajność serwera i mogą nie być zgodne ze starszymi aplikacjami. Zaleca się zachowanie domyślnego ustawienia 2048. Wybierz Dalej.

  15. Na stronie Nazwa urzędu certyfikacji zachowaj sugerowaną nazwę pospolitą urzędu certyfikacji lub zmień nazwę zgodnie z wymaganiami. Upewnij się, że masz pewność, że nazwa urzędu certyfikacji jest zgodna z konwencjami i celami nazewnictwa, ponieważ nie można zmienić nazwy urzędu certyfikacji po zainstalowaniu usług AD CS. Wybierz Dalej.

  16. Na stronie Okres ważności w obszarze Określ okres ważności wpisz liczbę i wybierz wartość czasu (Lata, Miesiące, Tygodnie lub Dni). Zalecane jest ustawienie domyślne pięciu lat. Wybierz Dalej.

  17. Na stronie Baza danych urzędu certyfikacji w obszarze Określ lokalizacje bazy danych określ lokalizację folderu dla bazy danych certyfikatów i dziennika bazy danych certyfikatów. Jeśli określisz lokalizacje inne niż domyślne, upewnij się, że foldery są zabezpieczone za pomocą list kontroli dostępu (ACL), które uniemożliwiają nieautoryzowanym użytkownikom lub komputerom dostęp do bazy danych urzędu certyfikacji i plików dziennika. Wybierz Dalej.

  18. W oknie Potwierdzenie wybierz pozycję Konfiguruj , aby zastosować wybrane opcje, a następnie wybierz pozycję Zamknij.

  • Last updated on