Poniżej przedstawiono procedurę instalowania usług certyfikatów w usłudze Active Directory® (AD CS) w celu zarejestrowania certyfikatu serwera na serwerach zasad sieciowych (NPS, Network Policy Server). W przypadku wdrażania uwierzytelniania opartego na certyfikatach serwery NPS muszą dysponować certyfikatem serwera. Podczas procesu uwierzytelniania serwery NPS wysyłają swój certyfikat do komputerów klienckich jako potwierdzenie tożsamości.
Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Enterprise Admins oraz w grupie domeny głównej Domain Admins.
 | Aby zainstalować usługi certyfikatów w usłudze Active Directory |
Zaloguj się jako członek grupy Administratorzy przedsiębiorstwa i grupy domeny głównej Administratorzy domeny.
Kliknij przycisk Start, kliknij polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer serwera. Zostanie otwarta konsola Menedżer serwera. W lewym okienku kliknij pozycję Role, a następnie w okienku szczegółów kliknij pozycję Dodaj role.
Zostanie otwarty Kreator dodawania ról. Kliknij przycisk Dalej.
Na stronie Wybieranie ról serwera w obszarze Role zaznacz pole wyboru Usługi certyfikatów w usłudze Active Directory, a następnie kliknij dwukrotnie przycisk Dalej.
Na stronie Wybieranie usług ról w obszarze Usługi ról kliknij pole wyboru Urząd certyfikacji, a następnie kliknij przycisk Dalej.
Na stronie Wprowadzenie do Usług certyfikatów w usłudze Active Directory przejrzyj wyświetlone informacje, a następnie kliknij przycisk Dalej.
Na stronie Wybieranie usług ról upewnij się, że jest wybrana opcja Urząd certyfikacji, wybierz wszystkie potrzebne dodatkowe usługi ról, a następnie kliknij przycisk Dalej.
Na stronie Określanie typu instalacji upewnij się, że jest wybrana opcja Przedsiębiorstwo, a następnie kliknij przycisk Dalej.
Na stronie Określanie typu urzędu certyfikacji kliknij opcję Główny urząd certyfikacji, a następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie klucza prywatnego upewnij się, że jest wybrana opcja Utwórz nowy klucz prywatny, a następnie kliknij przycisk Dalej.
Na stronie Konfigurowanie kryptografii dla urzędu certyfikacji zachowaj ustawienia domyślne lub zmień je według potrzeb. Należy zauważyć, że domyślne ustawienie Długość klucza (w znakach) to 2048, co stanowi dwukrotność wcześniejszej domyślnej długości klucza w znakach wynoszącej 1024. Długość klucza w znakach można dopasować w zależności od wielkości sieci i natężenia ruchu sieciowego. Kliknij przycisk Dalej.
Na stronie Konfigurowanie nazwy urzędu certyfikacji zachowaj sugerowaną nazwę pospolitą urzędu certyfikacji lub zmień nazwę stosownie do potrzeb, a następnie kliknij przycisk Dalej.
Na stronie Ustawianie okresu ważności w polu Wybierz okres ważności certyfikatu generowanego dla tego urzędu certyfikacji wpisz liczbę i wybierz wartość czasu (lata, miesiące, tygodnie lub dni), aby określić datę wygaśnięcia certyfikatu wystawionego przez urząd certyfikacji. Zalecane jest użycie ustawienia domyślnego o wartości pięciu lat. Kliknij przycisk Dalej.
Na stronie Konfigurowanie bazy danych certyfikatów w polach Lokalizacja bazy danych certyfikatów i Lokalizacja dziennika bazy danych certyfikatów określ lokalizację folderów zawierających te elementy. W przypadku wybrania lokalizacji innych niż lokalizacje domyślne należy upewnić się, że foldery zostały zabezpieczone przy użyciu list kontroli dostępu (ACL, access control lists), które zapobiegają uzyskiwaniu dostępu do plików dziennika i bazy danych urzędu certyfikacji przez nieupoważnionych użytkowników i nieupoważnione komputery. Kliknij przycisk Dalej, a następnie kliknij przycisk Zakończ lub kontynuuj instalację wybranych dodatkowych usług ról.