3.1 部署证书服务_Exchange Server 2013 SP1管理实践-QQ阅读女频现言网

书名：Exchange Server 2013 SP1管理实践
作者名：王淑江宋军林
本章字数：2245字
更新时间：2025-02-17 22:27:04

3.1 部署证书服务

案例中，由于硬件设备限制（只有一台域控制器），将证书服务部署在域控制器中。生产环境中建议：

• 证书服务器独立部署，不建议和域控制器部署在同一台服务器中。

• 部署AD CS服务，需要域管理员权限。

• 证书有效期限设置为N年。建议合理延长证书的有效时间。案例中，证书有效时间为20年。

3.1.1 根类型

Windows Server 2012 R2中提供两种类型证书服务模式：企业根和独立根。

• 企业根：部署在AD DS域服务环境中的根，与Active Directory集成在一起。部署企业根后，不需要单独配置策略发布企业根证书，AD DS域服务会自动通过组策略将企业根证书发送到域内所有计算机中，即域内所有计算机自动信任企业根。

• 独立根：安装在独立服务器中，或者安装在成员服务器中的根，执行安装AD CS服务的用户不具备访问AD DS域服务的权限，需要通过“受信任的根证书颁发机构”策略，将独立根的证书通过策略发送到域内所有计算机中。

案例中部署的根模式为“企业根”。

3.1.2 安装AD CS服务

第1步，以域管理员身份登录域控制器。启动“添加角色和功能向导”，根据向导提示跳过：

• “开始之前”对话框。

• “选择安装类型”对话框，本机安装。

• “选择服务器”，目前只有一台运行Windows Server 2012 R2的服务器。

打开“选择服务器角色”对话框，在“角色”列表中选择“Active Directory证书服务”选项，设置完成的参数如图3-1所示。

图3-1 安装AD CS服务之一

选择“Active Directory证书服务”后，打开“添加Active Directory证书服务所需的功能”对话框，如图3-2所示。提醒管理员安装AD CS服务的同时需要安装的管理组件。单击“添加功能”按钮，返回“选择服务器角色”对话框。

图3-2 安装AD CS服务之二

第2步，单击“下一步”按钮，显示如图3-3所示的“选择功能”对话框。在“功能”列表中根据需要选择安装的功能组件。

图3-3 安装AD CS服务之三

第3步，单击“下一步”按钮，显示图3-4所示的“Active Directory证书服务”对话框，其中显示部署AD CS服务的注意事项。

图3-4 安装AD CS服务之四

第4步，单击“下一步”按钮，显示图3-5所示的“选择角色服务”对话框。在“角色服务”列表中选择需要部署的功能，案例中选择“证书颁发机构”和“证书颁发机构Web注册”选项。

图3-5 安装AD CS服务之五

选择“证书颁发机构Web注册”后，打开“添加证书颁发机构Web注册所需的功能”对话框（如图3-6所示），使用默认值即可。单击“添加功能”按钮，返回“选择角色服务”对话框。

图3-6 安装AD CS服务之六

第5步，单击“下一步”按钮，显示图3-7所示的“Web服务器角色（IIS）”对话框。其中显示部署AD CS服务同时需要安装的IIS Web服务角色，并启用相应的功能。

图3-7 安装AD CS服务之七

第6步，单击“下一步”按钮，显示图3-8所示的“选择角色服务”对话框。在其中设置Web服务器需要的功能列表，建议使用默认值即可。

图3-8 安装AD CS服务之八

第7步，单击“下一步”按钮，显示图3-9所示的“确认安装所选内容”对话框。其中显示安装AD CS服务的组件列表。选择“如果需要，自动重新启动目标服务器”选项。

图3-9 安装AD CS服务之九

第8步，单击“安装”按钮，开始安装Active Directory证书服务，安装完成后显示图3-10所示的“安装进度”对话框。

图3-10 安装AD CS服务之十

3.1.3 配置AD CS服务

接上节内容，继续配置AD CS服务。

第1步，单击“配置目标服务器上的Active Directory证书服务”超链接，启动“AD CS配置”向导，显示图3-11所示的“凭据”对话框。默认使用当前登录用户作为管理者。

图3-11 配置AD CS服务之一

第2步，单击“下一步”按钮，显示图3-12所示的“角色服务”对话框。在“选择要配置的角色服务”选项中，选择需要配置的证书功能，案例中选择“证书颁发机构”和“证书颁发机构Web注册”功能选项。

图3-12 配置AD CS服务之二

第3步，单击“下一步”按钮，显示图3-13所示的“设置类型”对话框。在其中设置CA类型。案例中选择“企业CA”选项，部署为企业根模式。注意：企业根模式必须和Active Directory绑定。证书服务器至少是域成员服务器。

图3-13 配置AD CS服务之三

第4步，单击“下一步”按钮，显示图3-14所示的“CA类型”对话框。在其中设置企业根类型，案例中部署为“根”，不是“从属CA”。

图3-14 配置AD CS服务之四

第5步，单击“下一步”按钮，显示图3-15所示的“私钥”对话框。如果没有私钥，选择“创建新的私钥”选项；如果已有私钥，可以选择“使用现有私钥”选项。在案例中选择前者。

图3-15 配置AD CS服务之五

第6步，单击“下一步”按钮，显示图3-16所示的“CA的加密”对话框。在其中设置证书加密使用的程序、密钥长度以及使用的算法。建议使用默认值即可。

图3-16 配置AD CS服务之六

第7步，单击“下一步”按钮，显示图3-17所示的“CA名称”对话框。在其中设置CA服务器的公用名称，注意：该名称必须是唯一的。在“可分辨名称后缀”文本框中，默认使用当前域的DN名称，“此CA的公用名称”和“可分辨名称后缀”组成证书服务器的完整可分辨名称。建议使用默认值即可。

图3-17 配置AD CS服务之七

第8步，单击“下一步”按钮，显示图3-18所示的“有效期”对话框。发布证书的有效期默认设置为5年，可根据需要调整。在案例中设置为20年，注意：此有效期设置针对的是根证书，非计算机证书和用户证书。

图3-18 配置AD CS服务之八

第9步，单击“下一步”按钮，显示图3-19所示的“CA数据库”对话框。在其中设置证书数据库以及日志文件的存储位置。

图3-19 配置AD CS服务之九

第10步，单击“下一步”按钮，显示图3-20所示的“确认”对话框。在其中显示设置的证书服务器信息。

图3-20 配置AD CS服务之十

第11步，单击“配置”按钮，开始配置证书服务，配置成功后显示图3-21所示的“结果”对话框。单击“关闭”按钮，完成证书服务设置。单击“关闭”按钮，完成AD CS服务的安装。安装完成后，建议重新启动证书服务器。

图3-21 配置AD CS服务之十一