Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Выполните следующие действия, чтобы настроить службы сертификатов Active Directory (AD CS). Это позволяет выдавать сертификаты сервера для серверов под управлением сервера политики сети (NPS), маршрутизации и удаленного доступа (RRAS) или обоих.
Prerequisites
Членство как в группах администраторов предприятия, так и в группе администраторов домена корневого домена является минимальным требованием для выполнения этой процедуры.
Перед установкой служб сертификатов Active Directory необходимо присвоить компьютеру имя, настроить компьютер со статическим IP-адресом и присоединить компьютер к домену.
- Дополнительные сведения о том, как выполнить эти задачи, см. в сетевых компонентах Windows Server Core.
- Чтобы выполнить эту процедуру, компьютер, на котором устанавливается AD CS, должен быть присоединен к домену, в котором установлены доменные службы Active Directory (AD DS).
Установка служб сертификатов Active Directory с помощью PowerShell
Чтобы использовать Windows PowerShell для установки служб сертификатов Active Directory, выполните следующие действия.
Откройте Windows PowerShell и введите следующую команду, а затем нажмите клавишу ВВОД.
Install-WindowsFeature -Name ADCS-Cert-Authority -IncludeManagementToolsПосле установки AD CS введите следующую команду и нажмите Enter.
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
Дополнительные сведения об этом командлете и его доступных параметрах см. в разделе Install-AdcsCertificationAuthority.
Установка служб сертификатов Active Directory с помощью диспетчера серверов
Чтобы использовать диспетчер серверов для установки служб сертификатов Active Directory, выполните следующие действия.
Войдите в систему как участник группы администраторов предприятия, так и группы администраторов домена корневого домена.
В диспетчере серверов выберите "Управление", а затем выберите "Добавить роли и компоненты ", чтобы открыть мастер добавления ролей и компонентов.
Перед началом работы нажмите кнопку "Далее".
Note
Страница "Перед началом работы " мастера добавления ролей и компонентов не отображается, если вы ранее выбрали "Пропустить эту страницу" по умолчанию.
В разделе "Выбор типа установки" убедитесь, что выбранаRole-Based или установка на основе компонентов , а затем нажмите кнопку "Далее".
В разделе "Выбор целевого сервера" убедитесь, что выбран сервер из пула серверов . В пуле серверов убедитесь, что выбран локальный компьютер. Нажмите кнопку Далее.
В разделе "Выбор ролей сервера" в ролях выберите службы сертификатов Active Directory. Когда появится запрос на добавление необходимых компонентов, нажмите кнопку "Добавить компоненты" и нажмите кнопку "Далее".
В разделе "Выбор функций" нажмите кнопку "Далее".
В службах сертификатов Active Directory прочитайте предоставленные сведения и нажмите кнопку "Далее".
В разделе "Подтверждение установки" выберите "Установить". Не закрывайте мастер установки во время процесса. После завершения установки выберите "Настроить службы сертификатов Active Directory" на целевом сервере. Откроется мастер настройки CS AD. Прочитайте сведения об учетных данных и укажите учетные данные для учетной записи, являющейся членом группы администраторов предприятия. Нажмите кнопку Далее.
В службах ролей выберите центр сертификации и нажмите кнопку "Далее".
На странице "Тип установки" убедитесь, что выбран корпоративный ЦС , а затем нажмите кнопку "Далее".
На странице "Укажите тип ЦС ", убедитесь, что выбран корневой ЦС , а затем нажмите кнопку "Далее".
На странице "Укажите тип закрытого ключа ", убедитесь, что выбран новый закрытый ключ , а затем нажмите кнопку "Далее".
На странице Криптографии для ЦС сохраните параметры по умолчанию для CSP (поставщик хранилища ключей программного обеспечения RSA#Microsoft Software Key Storage) и хэш-алгоритм (SHA2) и определите оптимальную длину ключа для развертывания. Длина символов большого ключа обеспечивает оптимальную безопасность; однако они могут повлиять на производительность сервера и могут быть несовместимы с устаревшими приложениями. Рекомендуется сохранить параметр по умолчанию 2048. Нажмите кнопку Далее.
На странице "Имя ЦС" сохраните предлагаемое общее имя ЦС или измените имя в соответствии с вашими требованиями. Убедитесь, что вы уверены, что имя ЦС совместимо с соглашениями об именовании и целями, так как вы не можете изменить имя ЦС после установки AD CS. Нажмите кнопку Далее.
На странице " Срок действия " в поле "Указание срока действия" введите число и выберите значение времени (годы, месяцы, недели или дни). Рекомендуемое значение по умолчанию составляет пять лет. Нажмите кнопку Далее.
На странице базы данных ЦС в разделе "Указание расположений базы данных" укажите расположение папки для базы данных сертификатов и журнала базы данных сертификатов. Если указать расположения, отличные от расположений по умолчанию, убедитесь, что папки защищены с помощью списков управления доступом (ACL), которые препятствуют несанкционированным пользователям или компьютерам получать доступ к базе данных ЦС и файлам журналов. Нажмите кнопку Далее.
В разделе "Подтверждение" выберите "Настроить ", чтобы применить выбранные элементы, а затем нажмите кнопку "Закрыть".