必须安装配置Active Directory证书服务角色:一、通过服务器管理器添加AD CS角色及依赖项;二、运行配置向导选择CA类型、设置密钥参数与数据库路径;三、验证CertSvc服务状态并导出根证书;四、启用证书模板;五、将根证书导入客户端受信任根存储。
如果您需要在Windows Server环境中部署内部证书颁发机构以支持PKI基础设施,则必须通过安装和配置“Active Directory 证书服务”角色来实现。以下是完成该配置的具体步骤:
一、安装AD CS服务器角色
此步骤将为服务器添加证书服务功能组件,使其具备签发、管理数字证书的能力,并为后续配置CA类型与服务选项奠定基础。
1、以管理员身份登录Windows Server,打开“服务器管理器”。
2、点击“管理”菜单,选择“添加角色和功能”。
3、在“添加角色和功能向导”中,点击“下一步”,直到进入“服务器角色”页面。
4、勾选Active Directory 证书服务,系统将自动勾选依赖项Web服务器(IIS)和.NET Framework功能。
5、点击“添加功能”,继续点击“下一步”,直至完成角色安装前的确认页,然后点击“安装”。
二、配置证书颁发机构服务
角色安装完成后,需启动AD CS配置向导,指定CA类型、加密参数及数据库路径,确保服务按预期运行并生成有效根证书。
1、安装完成后,在“服务器管理器”提示区域点击“通知”图标,选择“配置目标服务器上的Active Directory证书服务”。
2、在“角色服务”页面,勾选证书颁发机构和证书申请程序网页(可选,用于HTTP方式提交申请)。
3、点击“下一步”,在“CA类型”页中选择企业根CA(若域环境已部署AD)或独立根CA(适用于工作组或非域环境)。
4、在“私钥”页中,保留默认“创建新的私钥”,点击“下一步”后设置加密算法:建议选择RSA # Microsoft Software Key Storage Provider,密钥长度设为2048位或更高。
5、在“CA名称”页中,确认CA公用名称(如“Corp-Root-CA”),有效期默认为5年,可根据策略调整。
6、在“CA数据库位置”页中,确认证书数据库和日志文件路径,建议使用非系统盘路径以保障性能与安全。
三、验证CA服务状态与证书发布
配置完成后,需验证CertSvc服务是否正常运行,并确认根证书已发布至Active Directory或本地存储,供客户端信任和使用。
1、打开“服务”管理控制台(services.msc),检查CertSvc服务状态是否为“正在运行”。
2、打开“证书颁发机构”管理单元(certsrv.msc),确认节点下显示CA名称且无红色叉号。
3、在左侧控制台树中右键点击CA名称,选择“属性”,切换到“常规”选项卡,确认“CA证书”已成功生成并显示指纹信息。
4、若为域环境,系统会自动将根证书发布至Active Directory 证书服务容器下的“AIA”和“CDP”扩展位置;也可手动导出根证书:右键CA名称 → “所有任务” → “导出CA证书”,保存为Base64编码的.crt文件。
四、配置证书模板并启用注册
默认CA不自动启用任何证书模板,必须显式启用至少一个模板(如“用户”、“计算机”或“Web服务器”),客户端才能申请对应用途的证书。
1、打开“证书颁发机构”管理单元(certsrv.msc),右键CA名称,选择“属性”。
2、切换到“证书颁发机构”选项卡,点击“证书模板”按钮。
3、在弹出窗口中点击“新建” → “要颁发的证书模板”,打开模板选择对话框。
4、勾选所需模板,例如:用户、计算机、Web服务器、Kerberos身份验证;注意:某些模板需先在“证书模板”控制台(certtmpl.msc)中复制并配置权限后才可显示。
5、点击“确定”保存配置,返回后确认模板列表中对应条目状态为“已启用”。
五、分发根证书至客户端信任存储
客户端必须将CA根证书导入“受信任的根证书颁发机构”存储区,否则所有由该CA签发的证书将被系统标记为不可信。
1、在CA服务器上,打开“certsrv.msc”,右键CA名称 → “所有任务” → “导出CA证书”。
2、选择“Base64编码X.509(.CER)”,指定保存路径(如C:\RootCA.cer)。
3、将该.cer文件复制至目标客户端计算机。
4、双击该文件,在弹出的证书对话框中点击“安装证书”,选择“本地计算机”,点击“下一步”。
5、在存储位置中选择受信任的根证书颁发机构,完成导入。
6、对于域环境,推荐使用组策略自动部署:在GPMC中编辑域策略 → 计算机配置 → 策略 → Windows设置 → 安全设置 → 公钥策略 → 自动证书申请策略 → 导入根证书。
