您可以使用此程序安裝 Active Directory(R) 憑證服務 (AD CS),便可在執行網路原則伺服器 (NPS) 的伺服器註冊伺服器憑證。如果您部署以憑證為基礎的驗證,則 NPS 伺服器必須擁有伺服器憑證。在驗證程序期間,NPS 伺服器會將其伺服器憑證傳送到用戶端電腦,做為識別身分的證明。

若要完成此程序,至少需要根網域的 Enterprise Admins 群組與 Domain Admins 群組的成員資格。

安裝 Active Directory 憑證服務

  1. 以 Enterprise Admins 群組與根網域的 Domain Admins 群組的成員身分登入。

  2. 依序按一下 [開始][系統管理工具],然後按一下 [伺服器管理員]。此時會開啟 [伺服器管理員] 主控台。在左窗格中按一下 [角色],然後在詳細資料窗格中按一下 [新增角色]

  3. 此時會開啟 [新增角色] 精靈。按 [下一步]

  4. [選取伺服器角色] 頁面的 [角色] 中,選取 [Active Directory 憑證服務],然後按兩次 [下一步]

  5. [選取角色服務] 頁面的 [角色服務] 中,按一下 [憑證授權單位],然後按 [下一步]

  6. 檢閱 [Active Directory 憑證服務簡介] 頁面上提供的資訊,然後按 [下一步]

  7. [選取角色服務] 頁面上,確定已選取 [憑證授權單位],選取您需要的任何其他角色服務,然後按 [下一步]

  8. [指定安裝類型] 頁面上,確定已選取 [企業],然後按 [下一步]

  9. [指定 CA 類型] 頁面上,按一下 [根 CA],然後按 [下一步]

  10. [安裝私密金鑰] 頁面上,確定已選取 [建立新的私密金鑰],然後按 [下一步]

  11. [設定 CA 的加密編譯] 頁面上,維持預設設定或根據您的需求變更設定。請注意,預設 [金鑰字元長度] 是 2048,這是先前預設金鑰字元長度 1024 的兩倍。您可以依據網路大小與流量來調整金鑰字元長度的大小。按 [下一步]

  12. [設定 CA 名稱] 頁面上,維持建議的 CA 一般名稱,或依據您的需求變更名稱,然後按 [下一步]

  13. [設定有效期間] 頁面的 [對於為此 CA 產生的憑證選取有效期間] 中,輸入數字並選取時間值 (年、月、週或日),以決定 CA 所發出憑證將過期的日期。建議使用預設設定 5 年。按 [下一步]

  14. [設定憑證資料庫] 頁面的 [憑證資料庫位置][憑證資料庫記錄檔位置] 中,指定這些項目的資料夾位置。如果您指定的位置並非預設位置,請確定使用存取控制清單 (ACL) 保護該資料夾的安全,以免未授權的使用者或電腦存取 CA 資料庫與記錄檔。按 [下一步],然後按一下 [完成],或是繼續安裝您選取的任何其他角色服務。

目錄