安装根证书颁发机构 (CA) 之后,很多组织会安装一个或多个从属 CA 以对公钥基础结构 (PKI) 实施策略限制并向最终客户端颁发证书。至少使用一个从属 CA 可以帮助防止不必要的公开根 CA。
如果从属 CA 用于向帐户在 Active Directory 域中的用户或计算机颁发证书,则将从属 CA 安装为企业 CA,可以使用 Active Directory 域服务 (AD DS) 中的客户端现有帐户数据来颁发和管理证书并将证书发布到 AD DS。
本地管理员中的成员身份或等效身份是完成此过程所需的最低要求。如果是企业 CA,那么 Domain Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关详细信息,请参阅实现基于角色的管理。
安装子级 CA 的步骤 |
打开 服务器管理器,单击“添加角色”,单击“下一步”,然后单击“Active Directory 证书服务”。单击两次“下一步”。
在“选择角色服务”页上,单击“证书颁发机构”,然后单击“下一步”。
在“指定安装类型”页面上,单击“独立”或“企业”,然后单击“下一步”。
有关详细信息,请参阅证书颁发机构的类型。
注意 您的网络必须连接到域控制器,才能安装企业 CA。
在“指定 CA 类型”页上,单击“子集 CA”,然后单击“下一步”。
在“设置私钥”页上,单击“新建私钥”,然后单击“下一步”。
在“配置加密”页面上,选择加密服务提供程序、密钥长度和哈希算法。单击“下一步”。
有关详细信息,请参阅 CA 的加密选项。
在“申请证书”页上,浏览到根 CA,如果根 CA 没有连接到网络,则将证书申请保存到文件中,以便以后进行处理。单击“下一步”。
注意 发布了根 CA 证书并且使用该证书完成子级 CA 的安装之后,才能使用子级 CA。
在“配置 CA 名称”页面中,创建标识 CA 的唯一名称。单击“下一步”。
有关详细信息,请参阅证书颁发机构命名。
在“设置有效期”页面中,指定 CA 证书有效的年数或月数。单击“下一步”。
在“配置证书数据库”页面上,选择加密服务提供程序、密钥长度和哈希算法。单击“下一步”。
有关详细信息,请参阅证书数据库。
在“确认安装选择”页面上,查看您选择的所有配置设置。如果要接受所有这些选项,请单击“安装”,然后等待安装过程完成。