对于大多数组织,根证书颁发机构 (CA) 的证书是其安装的第一个 Active Directory 证书服务 (AD CS) 角色服务。在基本公钥基础结构 (PKI) 中,根 CA 可能是组织部署的唯一 CA。

无论您是安装一个 CA 还是多个 CA,根 CA 证书都会建立一些基本规则,用于管理整个 PKI 的证书颁发和使用。其中根证书定义一些标准规定在 PKI 层次结构可接受和不可接受的内容,AD CS 将这些标准应用于任何其他 CA 和 D CS 角色服务。

根 CA 可以是独立 CA 或企业 CA。如果组织中有多个 CA,则除非需要处理从属 CA 证书的申请,否则很多组织通过使根 CA 脱机以使其尽可能不暴露。

本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业 CA,那么 Domain Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理

安装根 CA 的步骤

  1. 打开 服务器管理器,单击“添加角色”,单击“下一步”然后单击“Active Directory 证书服务”。单击两次“下一步”

  2. “选择角色服务”页面中,单击“证书颁发机构”。单击“下一步”

  3. “指定安装类型”页中,单击“独立”“企业”。单击“下一步”

    注意

    您的网络必须连接到域控制器,才能安装企业 CA。

  4. “指定 CA 类型”页面中,单击“根 CA”。单击“下一步”

    有关详细信息,请参阅证书颁发机构的类型

  5. “设置私钥”页面中,单击“新建私钥”。单击“下一步”

  6. “配置加密”页面上,选择加密服务提供程序、密钥长度和哈希算法。单击“下一步”

    有关详细信息,请参阅 CA 的加密选项

  7. “配置 CA 名称”页面中,创建标识 CA 的唯一名称。单击“下一步”

    有关详细信息,请参阅证书颁发机构命名

  8. “设置有效期”页面中,指定根 CA 证书有效的年数或月数。单击“下一步”

  9. “配置证书数据库”页面上,选择加密服务提供程序、密钥长度和哈希算法。单击“下一步”

    有关详细信息,请参阅证书数据库

  10. “确认安装选择”页面上,查看您选择的所有配置设置。如果要接受所有这些选项,请单击“安装”,然后等待安装过程完成。

其他参考

目录