安装ADCS证书服务

安装ADCS证书服务

由于证书服务特性（不能更改计算机名称、网络参数），因此在部署证书服务器时建议独立部署，ADCS证书服务不能和域控是同一台服务器，这里用的一台加入域的Server2016搭建

1、以 Enterprise Admins 组和根域的 Domain Admins 组的成员身份登录。

2、在“服务器管理器”中，单击“管理”，然后单击“添加角色和功能”。 将打开“添加角色和功能向导”。

3、在“开始之前”中单击“下一步”。

4、在“选择安装类型”中，确保选中“基于角色或基于功能的安装”，然后单击“下一步”。

5、在“选择目标服务器”中，确保选中“从服务器池中选择一个服务器”。 在“服务器池”中，确保选中了本地计算机，单击“下一步”。

6、在“选择服务器角色”的“角色”中，选择“Active Directory 证书服务”，当系统提示你添加所需功能的时候，单击“添加功能”，然后单击“下一步”。

7、在“选择功能”中，单击“下一步”。

8、在“Active Directory 证书服务”中，读取提供的信息，然后单击“下一步”。

9、在“角色服务”中，单击“证书颁发机构”和“证书颁发Web注册”，然后单击“下一步”。

10、在“Web服务器角色（IIS）”中单击下一步

11、在选择”角色服务“中单击下一步

12、在“确认安装选择”中，单击“安装”。

13、安装成功后关闭，在仪表板上点击小旗子，开始配置

14、在“凭据”中，单击下一步

15、在“角色服务”中，单击“证书颁发机构”和“证书颁发机构Web注册”，然后单击“下一步”。

16、在“安装类型”页上，验证是否选择了“企业 CA”，然后单击“下一步”。

17、在“指定 CA 类型”页上，验证是否选择了“根 CA”，然后单击“下一步”。

18、在“指定私钥类型”页上，验证是否选择了“创建新的私钥”，然后单击“下一步”。

19、在“CA 加密”页上，保留 CSP（RSA#Microsoft 软件密钥存储提供程序）和哈希算法 (SHA1)的默认设置，并确定部署的最佳密钥字符长度。 大密钥字符长度提供最佳安全性，但会影响服务器性能并且可能与旧版应用程序不兼容，建议保留默认设置 2048，单击“下一步”。

20、在“CA 名称”页上，保留 CA 的建议公用名，或根据要求更改名称。 请确保 CA 名称与命名约定和用途兼容，因为在安装 AD CS 后无法更改 CA
名称。 单击“下一步”。

21、在“有效期”页的“指定有效期”中，键入数字并选择一个时间值（年、月、周或日）。 建议的默认设置为五年。 单击“下一步”

22、在“CA 数据库”页上的“指定数据库位置”中，指定证书数据库和证书数据库日志的文件夹位置。

Tips：如果指定默认位置之外的位置，要确保使用阻止未经授权的用户或计算机访问 CA 数据库和日志文件的访问控制列表 (ACL) 来保护文件夹。 单击“下一步”。

23、在“确认”中，单击“配置”以应用所做的选择，然后单击“关闭”。

24、配置成功

25、打开开始菜单，会看到一个“证书颁发机构”，到此证书服务器已安装完毕！