安裝憑證授權單位

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016

您可以使用此程序來安裝 Active Directory 憑證服務 (AD CS)，讓您可以將伺服器憑證註冊至執行網路原則伺服器 (NPS)、路由和遠端存取服務的伺服器 (RRAS)，或兩者。

若要完成這個程序，至少需要 Enterprise Admins 群組和根網域的 Domain Admins 群組的成員資格。

若要安裝 Active Directory 憑證服務

1. 以 Enterprise Admins 群組與根網域的 Domain Admins 群組的成員身分登入。

2. 在 [伺服器管理員] 中，按一下 [管理]，然後按一下 [新增角色及功能]。 [新增角色及功能精靈] 隨即開啟。

3. 在 [在您開始前] 中，按 [下一步]。

   注意

   如果您先前在執行 [新增角色及功能精靈] 時已經選取 [預設略過這個頁面]，就不會顯示 [新增角色及功能精靈] 的 [在您開始前] 頁面。

4. 在 [選取安裝類型] 中，確定已選取 [角色型或功能型安裝]，然後按 [下一步]。

5. 在 [選取目的地伺服器] 中，確認已選取 [從伺服器集區選取伺服器]。 在 [伺服器集區] 中，確定已選取本機電腦。 按一下 [下一步] 。

6. 在 [選取伺服器角色] 的 [角色] 中，選取 [Active Directory 憑證服務]。 系統提示您新增所需功能時，按一下 [新增功能]，然後按 [下一步]。

7. 在 [選取功能] 中，按 [下一步]。

8. 在 Active Directory 憑證服務中，讀取所提供的資訊，然後按一下 [下一步]。

9. 在 [確認安裝選項] 中，按一下 [安裝]。 請勿在安裝程式期間關閉精靈。 當安裝完成時，按一下 [設定目的地伺服器上的 Active Directory 憑證服務] 。 AD CS 設定精靈隨即開啟。 讀取認證資訊，並視需要提供屬於 Enterprise Admins 群組成員之帳戶的認證。 按一下 [下一步] 。

10. 在 [角色服務] 中，按一下 [憑證授權單位]，然後按一下 [下一步]。

11. 在 [安裝類型] 頁面上，確認已選取 [企業 CA] ，然後按 [下一步]。

12. 在 [指定 CA 的類型] 頁面上，確認已選取 [根 CA]，然後按一下 [下一步]。

13. 在 [指定私密金鑰的類型] 頁面上，確認已選取 [建立新的私密金鑰]，然後按一下 [下一步]。

14. 在 [CA 密碼編譯] 頁面上，保留 CSP 的預設設 (RSA#Microsoft 軟體機碼儲存提供者) 和雜湊演算法 (SHA2)，並判斷部署的最佳機碼字元長度。 大型機碼字元長度可提供最佳安全性；不過，其可能會影響伺服器效能，而且可能會與繼承應用程式不相容。 建議您保留 2048 的預設設定。 按一下 [下一步] 。

15. 在 [CA 名稱] 頁面上，維持建議的 CA 一般名稱，或依據您的需求變更名稱。 因為您無法在安裝 AD CS 之後變更 CA 名稱，請確定您確定 CA 名稱與命名慣例和用途相容。 按一下 [下一步] 。

16. 於 [指定有效期間] 中的 [有效期間] 頁面上，輸入數字並選取時間值 (年、月、星期或天)。 建議使用預設設定 5 年。 按一下 [下一步] 。

17. 於 [指定資料庫位置] 中的 [CA 資料庫] 頁面上，指定憑證資料庫和憑證資料庫記錄的資料夾位置。 如果您指定的位置並非預設位置，請確定以存取控制清單 (ACL) 保護該資料夾的安全，以免未授權的使用者或電腦存取 CA 資料庫與記錄檔。 按一下 [下一步] 。

18. 在 [確認] 中，按一下 [設定] 以套用您的選取項目，然後按一下 [關閉]。