Установка центра сертификации

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Эту процедуру можно использовать для установки служб сертификатов Active Directory (AD CS), чтобы вы могли зарегистрировать сертификат сервера на серверах, на которых запущен сервер политики сети (NPS), служба маршрутизации и удаленного доступа (RRAS) или обоих.

Внимание

  • Перед установкой служб сертификатов Active Directory необходимо присвоить компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену. Дополнительные сведения о том, как выполнить эти задачи, см. в руководстве по сети Windows Server 2016 Core.
  • Чтобы выполнить эту процедуру, компьютер, на котором устанавливается AD CS, должен быть присоединен к домену, где установлены службы домен Active Directory (AD DS).

Членство как в корпоративных Администратор, так и в группе доменных Администратор корневого домена является минимальным обязательным для выполнения этой процедуры.

Примечание.

Чтобы выполнить эту процедуру с помощью Windows PowerShell, откройте Windows PowerShell и введите следующую команду, а затем нажмите клавишу ВВОД.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

После установки AD CS введите следующую команду и нажмите клавишу ВВОД.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Установка служб сертификатов Active Directory

Совет

Если вы хотите использовать Windows PowerShell для установки служб сертификатов Active Directory, см. статью Install-AdcsCertificationAuthority для командлетов и необязательных параметров.

  1. Войдите как участник группы корпоративных Администратор и группы доменов корневого домена Администратор.

  2. Откройте диспетчер серверов, щелкните Управление, а затем нажмите кнопку Добавить роли и компоненты. Откроется мастер добавления ролей и компонентов.

  3. Перед началом работы нажмите кнопку "Далее".

    Примечание.

    Страница "Перед началом работы " мастера добавления ролей и компонентов не отображается, если вы ранее выбрали "Пропустить эту страницу" по умолчанию при запуске мастера добавления ролей и компонентов.

  4. В разделе "Выбор типа установки" убедитесь, что выбрана установка на основе ролей или компонентов, а затем нажмите кнопку "Далее".

  5. В разделе "Выбор целевого сервера" убедитесь, что выбран сервер из пула серверов. В пуле серверов убедитесь, что выбран локальный компьютер. Нажмите кнопку Далее.

  6. В разделе "Выбор ролей сервера" в ролях выберите службы сертификатов Active Directory. При появлении запроса на добавление необходимых компонентов нажмите кнопку "Добавить компоненты" и нажмите кнопку "Далее".

  7. В разделе "Выбор функций" нажмите кнопку "Далее".

  8. В службах сертификатов Active Directory прочтите предоставленные сведения и нажмите кнопку "Далее".

  9. В разделе "Подтверждение выбора установки" нажмите кнопку "Установить". Не закрывайте мастер во время установки. После завершения установки нажмите кнопку "Настройка служб сертификатов Active Directory" на целевом сервере. Откроется мастер настройки CS AD. Прочитайте сведения об учетных данных и укажите учетные данные для учетной записи, являющейся членом группы корпоративных Администратор. Нажмите кнопку Далее.

  10. В службах ролей нажмите кнопку "Центр сертификации" и нажмите кнопку "Далее".

  11. На странице "Тип установки" убедитесь, что выбран корпоративный ЦС, а затем нажмите кнопку "Далее".

  12. На странице "Укажите тип ЦС", убедитесь, что выбран корневой ЦС, а затем нажмите кнопку "Далее".

  13. На странице "Укажите тип закрытого ключа", убедитесь, что выбран новый закрытый ключ, а затем нажмите кнопку "Далее".

  14. На странице шифрования ЦС сохраните параметры по умолчанию для CSP (RSA#Microsoft Software Key служба хранилища Provider) и хэш-алгоритм (SHA2) и определите оптимальную длину символов ключа для развертывания. Длина символов большого ключа обеспечивает оптимальную безопасность; однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями. Рекомендуется сохранить параметр по умолчанию 2048. Нажмите кнопку Далее.

  15. На странице "Имя ЦС" сохраните предлагаемое общее имя ЦС или измените имя в соответствии с вашими требованиями. Убедитесь, что вы уверены, что имя ЦС совместимо с соглашениями об именовании и целями, так как вы не можете изменить имя ЦС после установки AD CS. Нажмите кнопку Далее.

  16. На странице "Срок действия" в поле "Указание срока действия" введите число и выберите значение времени (годы, месяцы, недели или дни). Рекомендуется установить значение по умолчанию в течение пяти лет. Нажмите кнопку Далее.

  17. На странице базы данных ЦС в разделе "Указание расположений базы данных" укажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов. Если указать расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены с помощью списков управления доступом (ACL), которые препятствуют несанкционированным пользователям или компьютерам получать доступ к базе данных ЦС и файлам журналов. Нажмите кнопку Далее.

  18. В разделе "Подтверждение" нажмите кнопку "Настроить ", чтобы применить выбранные элементы, а затем нажмите кнопку "Закрыть".