可以使用此过程安装 Active Directory(R) 证书服务 (AD CS),以便可以将服务器证书注册到运行网络策略服务器 (NPS) 的服务器。如果部署基于证书的身份验证,则 NPS 服务器必须拥有服务器证书。身份验证过程中,NPS 服务器将其服务器证书作为身份证明发送到客户端计算机。

若要完成此过程,至少要具有 Enterprise Admins 组和根域的 Domain Admins 组的成员身份。

安装 Active Directory 证书服务的步骤

  1. 以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录。

  2. 依次单击“开始”“管理工具”“服务器管理器”。“服务器管理器”控制台打开。在左窗格中单击“角色”,然后在细节窗格中单击“添加角色”

  3. 这将打开“添加角色”向导。单击“下一步”

  4. “选择服务器角色”页的“角色”中,选择“Active Directory 证书服务”,然后单击“下一步”两次。

  5. “选择角色服务”页的“角色服务”中,单击“证书颁发机构”,然后单击“下一步”

  6. “Active Directory 证书服务简介”页上,查看提供的信息,然后单击“下一步”

  7. “选择角色服务”页上,确保选中了“证书颁发机构”,选择所需的任何其他角色服务,然后单击“下一步”

  8. “指定安装类型”页上,确保选中了“企业”,然后单击“下一步”

  9. “指定 CA 类型”页中,单击“根 CA”,然后单击“下一步”

  10. “设置私钥”页上,确保选中了“新建私钥”,然后单击“下一步”

  11. “为 CA 配置加密”页上,保留默认设置或根据需要进行更改。注意,“密钥字符长度”的默认值为 2048,该值是以前默认密钥字符长度 1024 的两倍。根据您的网络规模和流量,可能需要调整密钥字符长度。单击“下一步”

  12. “配置 CA 名称”页上,保留 CA 的建议公用名,或根据要求更改名称,然后单击“下一步”

  13. “设置有效期”页的“选择为此 CA 生成的证书的有效期”,键入数值并选择时间值(年、月、周或日),该值确定由 CA 颁发的证书的过期日期。建议的默认设置为五年。单击“下一步”

  14. “配置证书数据库”页的“证书数据库位置”“证书数据库日志位置”中,指定这些项目的文件夹位置。如果指定默认位置之外的位置,请确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。单击“下一步”,然后单击“完成”,或继续安装所选的任何其他角色服务。

目录