安裝根憑證授權單位 (CA) 之後,許多組織都會安裝一或多個次級 CA,以執行公開金鑰基礎結構 (PKI) 的原則限制,並將憑證發行至終端用戶端。使用至少一個次級 CA,有助於保護根 CA 免於不必要的曝光。
如果要使用次級 CA 將憑證發行至在 Active Directory 網域中具備帳戶的使用者或電腦,可將次級 CA 安裝為企業 CA 以使用 Active Directory 網域服務 (AD DS) 中的用戶端現有帳戶資料,發行和管理憑證,以及將憑證發行至 AD DS。
若要完成此程序,至少需要是本機 Administrators 的成員資格或同等權限。如果這將做為企業 CA,則至少需要 Domain Admins 的成員資格或同等權限,才能完成此程序。如需相關資訊,請參閱實作以角色為基礎的管理。
 | 安裝次級 CA |
開啟 伺服器管理員、依序按一下 [新增角色] 及 [下一步],然後按一下 [Active Directory 憑證服務]。按 [下一步] 兩次。
在 [選取角色服務] 頁面上,按一下 [憑證授權單位],然後按 [下一步]。
在 [指定安裝類型] 頁面上,按一下 [獨立] 或 [企業],然後按 [下一步]。
如需相關資訊,請參閱憑證授權單位的類型。
附註 您必須具有連至網域控制站的網路連線,才能安裝企業 CA。
在 [指定 CA 類型] 頁面上,按一下 [次級 CA],然後按 [下一步]。
在 [安裝私密金鑰] 頁面上,按一下 [建立新的私密金鑰],然後按 [下一步]。
在 [設定加密編譯] 頁面上,選取加密編譯服務提供者、金鑰長度及雜湊演算法。按 [下一步]。
如需相關資訊,請參閱 CA 的加密編譯選項。
在 [要求憑證] 頁面上,瀏覽以尋找根 CA,或者如果根 CA 未連接至網路,請將憑證要求儲存至檔案以供稍後處理。按 [下一步]。
附註 必須等到發行根 CA 憑證,且此憑證已用來完成安裝次級 CA 後,才能使用次級 CA。
在 [設定 CA 名稱] 頁面上,建立識別 CA 的唯一名稱。按 [下一步]。
如需相關資訊,請參閱憑證授權單位命名。
在 [設定有效期間] 頁面上,指定 CA 憑證有效的年數或月數。按 [下一步]。
在 [設定憑證資料庫] 頁面上,除非您想要為憑證資料庫及憑證資料庫記錄檔指定自訂位置,否則請接受預設位置。按 [下一步]。
如需相關資訊,請參閱憑證資料庫。
在 [確認安裝選項] 頁面上,檢視已選取的所有組態設定。如果您想要接受所有的這些選項,請按一下 [安裝],並等到安裝程序完成為止。