Установка AD CS в Windows Server 2008 R2

Для установки AD CS в Windows Server 2008 R2 вначале нужно выбрать сервер, который будет работать в качестве головного СА. Не забывайте о настоятельных рекомендациях, что это должен быть выделенный сервер, защищенный физически и выключенный большую часть времени для обеспечения целостности цепочки сертификатов.

После установки AD CS на сервере имя и доменный статус этого сервера изменять нель­зя. Например, его нельзя понизить с уровня контроллера домена или повысить до этого уровня, если это не так. Кроме того, нельзя изменять имя сервера, пока он выполняет функции СА.

1. Откройте Server Manager: Пуск-Все программы-Администрирование
2. В панели узлов выберите узел Roles (Роли), а затем щелкните на ссылке Add Roles (Создать роли) в панели задач.
3. На странице приветствия щелкните на кнопке Next (Далее).
4. На странице Select Server Roles (Выбор серверных ролей) установите флажок Active Directory Certificate Services (Служба сертификации Active Directory), а затем щелк­ните на кнопке Next.
5. На странице Introduction (Введение) просмотрите информацию об AD CS и щелкни­те на кнопке Next.
6. На странице Select Role Services (Выбор служб ролей), ука­жите нужные службы ролей. Для базовой установки нужна только роль Certificate Authority (Центр сертификации). Щелкните на кнопке Next.
7. На следующей странице укажите, нужно ли устанавливать центр сертификации пред­приятия (Enterprise СА), интегрированный с AD CS, или самостоятельный центр сертификации (Stand-alone СА). Щелкните на кнопке Next.
8. На странице Specify СА Туре (Укажите тип СА), выберите нужный тип СА. В данном случае мы устанавливаем на сервер головной СА (Root СА). Щелкните на кнопке Next.
9. На следующей странице Set Up Private Key (Создание секретного ключа) можно ука­зать либо создание нового секретного ключа с нуля, либо использование существую­щего ключа из предыдущей реализации СА. В данном примере мы создаем новый ключ. Щелкните на кнопке Next.
10. На странице Configure Cryptography for СА (Настройка криптографии для СА) вве­дите параметры шифрования секретным ключом. Обычно вполне годятся значения, предложенные по умолчанию, но бывают случаи, когда нужно изменить CSP, длину ключа и другие настройки. Щелкните на кнопке Next.
11. Выберите имя, которое будет использоваться для идентификации данного СА. Учтите, что это имя будет фигурировать на всех сертификатах, выпущенных данным СА. В на­шем примере мы ввели имя CompanyABC-CorpCA. Щелкните на кнопке Next.
12. Укажите срок годности сертификата, который будет установлен на данном сервере СА. Если это головной СА, сервер должен будет повторно выпустить цепочку серти­фикатов после истечения срока годности. Щелкните на кнопке Next.
13. Укажите место хранения базы данных сертификатов и местоположения для хране­ния журналов, а затем щелкните на кнопке Next.
14. На странице подтверждения просмотрите параметры предстоящей уста­новки и щелкните на кнопке Install (Установить).
15. После завершения работы мастера щелкните на кнопке Close (Закрыть).