安装企业根证书颁发机构

在这篇文章中，我将向您展示如何在实验室设置中安装企业根证书颁发机构（根 CA）。我将在 Windows Server 2019 操作系统上安装根 CA。

本指南将成为我的 SCCM 职位 PKI 证书的一部分。部署 PKI 不是一项简单的任务，因此如果您以前没有这样做过，请仔细阅读这些帖子。我已经发布了 SCCM 几乎所有必需的 PKI 指南，但是缺少安装企业根证书颁发机构指南。

当您计划安装企业根证书颁发机构时，您不会定期执行此操作。这是因为一旦您为组织正确设置了根 CA，您将不需要再次设置它。

根据定义，证书颁发机构 (CA) 负责证明用户、计算机和组织的身份。根 CA 对实体进行身份验证，并通过颁发数字签名证书来保证该身份。 CA 还可以管理、撤销和续订证书。

完成此过程的最低要求是企业管理员和根域的域管理员组的成员身份。让我们看看安装企业根证书颁发机构的步骤。

安装企业根证书颁发机构

我将在运行 Windows Server 2019 的虚拟机上安装企业根证书颁发机构。该虚拟机安装了最新的 Windows 更新，并分配了静态 IP 地址。

安装 Active Directory 证书服务

使用以下步骤开始安装 Active Directory 证书服务 (AD CS)。

• 在 Windows Server 2019 上，启动服务器管理器。
• 点击右上角的管理 > 添加角色和功能。
• 使用添加角色和功能向导安装 Active Directory 证书服务。
• 在开始之前窗口中，单击下一步。

选择基于角色或基于功能的安装。单击下一步。

在服务器选择页面上，确保所选服务器正确。单击下一步。

在“服务器角色”页面上，选择Active Directory 证书服务。单击下一步。

单击“选择功能”页面上的下一步。

您将要安装 Active Directory 证书服务，请单击下一步。

从 AD CS 中，选择证书颁发机构作为角色服务。单击下一步。

配置 Active Directory 证书服务

以下步骤向您展示如何配置 Active Directory 证书服务。单击在目标服务器上配置 Active Directory 证书服务。

指定配置 AD CS 的凭据。单击下一步。

在“角色服务”页面上，确保选择“证书颁发机构”。单击下一步。

选择证书颁发机构类型作为企业 CA。单击下一步。

对于 CA 类型，选择根 CA，然后单击下一步。

在“私钥”窗口中，选择创建新私钥。单击下一步。

对于加密，将设置保留为默认值，然后单击下一步。

这是您的 CA 名称和专有名称后缀。单击下一步。

您可以将证书的有效期更改为5年以上。我将其保留为默认值，然后单击下一步。

在“证书数据库”窗口中，您可以指定证书数据库位置和证书数据库日志位置。我会将其保留为默认值。单击下一步。

验证确认页面上的设置并单击配置。

证书颁发机构配置成功。单击关闭。

最后关闭添加角色和功能向导。