W przypadku większości organizacji certyfikat głównego urzędu certyfikacji jest pierwszą instalowaną przez nie usługą roli Usług certyfikatów w usłudze Active Directory (AD CS). W podstawowej infrastrukturze kluczy publicznych (PKI) główny urząd certyfikacji może być jedynym urzędem certyfikacji wdrażanym przez organizację.
Niezależnie od tego, czy jest instalowany tylko jeden urząd certyfikacji, czy wiele urzędów certyfikacji, certyfikat głównego urzędu certyfikacji określa fundament i podstawowe reguły rządzące wystawianiem certyfikatów oraz używaniem ich w całej infrastrukturze PKI. Gdy certyfikat główny definiuje standardy akceptowalnych i nieakceptowalnych opcji w hierarchii infrastruktury PKI, usługi AD CS stosują te standardy względem wszystkich pozostałych urzędów certyfikacji i usług ról usług AD CS.
Główny urząd certyfikacji może być autonomicznym urzędem certyfikacji lub urzędem certyfikacji przedsiębiorstwa. Wiele organizacji, w których istnieje więcej niż jeden urząd certyfikacji, ogranicza ujawnianie głównego urzędu certyfikacji, przechowując go w trybie offline z wyjątkiem sytuacji, gdy jest on potrzebny do przetworzenia żądania certyfikatu podrzędnego urzędu certyfikacji.
Wymaganym minimum do wykonania tej procedury jest przynależność do lokalnej grupy Administratorzy lub równoważnej. W przypadku urzędu certyfikacji przedsiębiorstwa minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub równoważnej. Aby uzyskać więcej informacji, zobacz temat Implementowanie administrowania opartego na rolach.
Aby zainstalować główny urząd certyfikacji |
Otwórz program Menedżer serwera, kliknij opcję Dodaj role, kliknij przycisk Dalej i kliknij opcję Usługi certyfikatów w usłudze Active Directory. Kliknij dwa razy przycisk Dalej.
Na stronie Wybieranie usług ról kliknij opcję Urząd certyfikacji. Kliknij przycisk Dalej.
Na stronie Określanie typu instalacji kliknij opcję Autonomiczny lub Przedsiębiorstwo. Kliknij przycisk Dalej.
Uwaga Do zainstalowania urzędu certyfikacji przedsiębiorstwa jest niezbędne połączenie sieciowe z kontrolerem domeny.
Na stronie Określanie typu urzędu certyfikacji kliknij opcję Główny urząd certyfikacji. Kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zobacz temat Typy urzędów certyfikacji.
Na stronie Konfigurowanie klucza prywatnego kliknij opcję Utwórz nowy klucz prywatny. Kliknij przycisk Dalej.
Na stronie Konfigurowanie kryptografii wybierz dostawcę usług kryptograficznych, długość klucza i algorytm wyznaczania wartości skrótu. Kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zobacz temat Opcje kryptograficzne dla urzędów certyfikacji.
Na stronie Konfigurowanie nazwy urzędu certyfikacji utwórz unikatową nazwę służącą do identyfikowania urzędu certyfikacji. Kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zobacz temat Nazewnictwo urzędów certyfikacji.
Na stronie Ustawianie okresu ważności określ liczbę lat lub miesięcy, przez które certyfikat głównego urzędu certyfikacji będzie ważny. Kliknij przycisk Dalej.
Na stronie Konfigurowanie bazy danych certyfikatów zaakceptuj domyślne lokalizacje, chyba że chcesz określić niestandardową lokalizację bazy danych certyfikatów i dziennika bazy danych certyfikatów. Kliknij przycisk Dalej.
Aby uzyskać więcej informacji, zobacz temat Baza danych certyfikatów.
Na stronie Potwierdzanie opcji instalacji przejrzyj wszystkie wybrane ustawienia konfiguracji. Jeśli chcesz zaakceptować wszystkie te opcje, kliknij przycisk Zainstaluj i zaczekaj na zakończenie procesu instalacji.