Windows Server Active Directory 证书服务(AD CS)完全指南【一】
目录
1. 什么是 AD CS 2. 安装证书颁发机构(CA) 3. CA Web 注册 4. 证书注册策略 Web 服务(CEP)与证书注册 Web 服务(EES) 5. 网络设备注册服务(NDES) 6. 证书模板管理
1. 什么是 AD CS
Active Directory 证书服务(AD CS)是 Windows Server 提供的一套公钥基础结构(PKI)框架,用于创建、管理、颁发和吊销数字证书。
核心组件
证书颁发机构(CA) CA Web 注册 证书注册 Web 服务(CES) 证书注册策略 Web 服务(CEP) 网络设备注册服务(NDES) 证书模板 证书吊销列表(CRL)
AD CS 服务器类型
• 企业 CA:需要 Active Directory 域成员,功能完整,支持证书模板和自动分发 • 独立 CA:不依赖 AD,可部署在工作组或域成员服务器上
2. 安装证书颁发机构(CA)
前置条件
• Windows Server 已加入 Active Directory 域(企业 CA 需要) • 具有本地管理员或企业管理员权限 • 已安装 AD DS 角色
UI 方式安装
1. 打开 服务器管理器 → 选择 "添加角色和功能"
2. 在 "选择服务器角色" 页面,勾选 "Active Directory 证书服务"
3. 当提示添加角色服务时,选择需要的组件: 
• 证书颁发机构(必选) • 证书颁发机构 Web 注册(可选) • 联机响应程序(可选) • 网络设备注册服务(可选) 4. 完成安装向导
6. 安装完成后,不要忽略服务器管理器顶部出现的黄色通知栏 —— 点击 "配置目标服务器上的 Active Directory 证书服务" 链接,启动 AD CS 配置向导
第二阶段:AD CS 配置向导(关键步骤)
点击配置链接后,进入 Active Directory 证书服务配置向导,按以下步骤操作:
步骤 1:角色服务
• 勾选 "证书颁发机构"(必选) • 如需 Web 注册,在此页也勾选 "证书颁发机构 Web 注册"
步骤 2:CA 类型
• 选择 "企业 CA"(需 AD 域环境)或 "独立 CA" ![图片]()
• 选择 CA 层级: • "根 CA" — 当前服务器作为信任链顶端 • "从属 CA" — 需要指向一个已存在的上级 CA(签发证书后再由上级 CA 颁发)
步骤 3:私钥
• 选择 "新建私钥"(首次安装)或 "使用现有私钥"(迁移/续订场景)
• 选择加密提供程序(默认 RSA#Microsoft Software Key Storage Provider) • 设置密钥长度:2048 位(最低建议) • 选择哈希算法:SHA256(避免 SHA1)
步骤 4:CA 名称
• 设置 CA 的通用名称(CN) • 可选填写其他标识信息(组织、单位、城市等) • 此名称后续无法更改,确认无误后继续
步骤 5:证书有效期
• 设置 CA 根证书的有效期 • 企业根 CA 通常设为 5 年;独立根 CA 可设为更长
步骤 6:证书数据库
• 指定 证书数据库路径(建议放在非系统盘) • 指定 证书日志路径 • 默认路径: %SYSTEMDRIVE%\System32\CertLog
步骤 7:CEP 的身份验证类型
CEP(证书注册策略 Web 服务)的作用
CEP 本身只发布注册策略(有哪些证书模板、到哪个 CES 提交申请、CES 要求哪种认证),真正的证书申请发生在 CES 环节。所以 CEP 的身份验证类型主要决定:谁能读取/查询注册策略。
Windows 集成身份验证 用户名和密码 客户端证书
实际场景中常见的组合
步骤 8:服务器证书
步骤 9:确认
• 查看配置摘要,确认无误后点击 "配置" • 配置完成,点击 "关闭"
验证 CA 运行状态
配置完成后,验证服务是否正常运行:
1. 打开 服务器管理器 → 左侧点击 "AD CS" → 右侧确认状态为 "已运行" 2. 打开 证书颁发机构 管理单元(服务器管理器 → 工具 → 证书颁发机构) 3. 确认左侧树中显示 CA 名称,右侧显示 "服务状态:正在运行"
4. 用命令验证:
3. CA Web 注册
CA Web 注册通过 IIS 提供基于浏览器的证书申请和下载页面,适合不方便使用 PowerShell 或 mmc 的场景。
安装步骤
1. 在服务器管理器中添加 "Active Directory 证书服务" 角色时,勾选 "证书颁发机构 Web 注册" 2. 同时确保 IIS 已安装(含 ASP.NET 支持)
使用 CA Web 注册申请证书
1. 在客户端浏览器中打开: https://<CA服务器名>/certsrv2. 使用域账户登录 3. 选择 "申请证书" 4. 选择 "用户证书" 或 "高级证书申请" 5. 填写证书申请信息,提交 6. 企业 CA 会自动审批并颁发证书(由策略模块决定) 7. 返回首页,点击 "查看证书申请状态",安装颁发的证书
常见问题
• 页面不显示:确认 IIS 中 Certification Authority Web Enrollment 应用程序池正在运行 • 证书被挂起:企业 CA 需要证书模板发布且用户有权限,联系 CA 管理员
4. 证书注册策略 Web 服务(CEP)与证书注册 Web 服务(EES)
CEP(Certificate Enrollment Policy Web Service)和 CES(Certificate Enrollment Web Service)用于非域成员客户端通过 HTTPS 申请证书。
架构说明
• CEP:使客户端能发现有效的证书模板和注册策略 • CES:充当中介,接收客户端的证书申请并转发给 CA
安装(PowerShell)
配置 CEP
配置 CES
5. 网络设备注册服务(NDES)
NDES(Network Device Enrollment Service)基于 SCEP(简单证书注册协议),供网络设备(路由器、交换机、VPN 设备等)申请证书,无需域身份。
安装 NDES
1. 在服务器管理器中添加 "Active Directory 证书服务" 角色时,勾选 "网络设备注册服务" 2. 配置 NDES 服务账户(见下文)
使用 SCEP 申请证书(命令示例)
网络设备通过 SCEP 协议向 NDES 发送申请,设备制造商会提供各自的配置方法。以下是概念性流程:
NDES 注册表配置
NDES 将配置信息存储在注册表 HKLM\SOFTWARE\Microsoft\Cryptography\MSCEP 中:
EncryptionCertificateThumbprintSignatureCertificateThumbprintUseOneTimePassword
6. 证书模板管理
证书模板定义了证书的格式、用途、有效期、申请者权限等,是企业 CA 颁发证书的核心依据。
打开证书模板管理
1. 在 CA 服务器或管理工作站上,打开 mmc.exe 2. 文件 → 添加/删除管理单元 → 添加 "证书模板" 3. 展开 证书模板,即可看到所有模板
或者用 PowerShell:
主要内置模板
User Computer Domain Controller Web Server Code Signing EFS
创建新证书模板
1. 在证书模板管理单元中,右键点击要复制的模板 → "复制模板"
2. 选择目标 CA 最低 OS 版本(建议 Windows Server 2016) 3. 在 "常规" 选项卡填写模板名称和有效期
4. 在 "安全" 选项卡配置允许申请的用户/组
5. 根据需要配置 "主题名称"、"扩展"、"请求处理" 等
删除证书模板
⚠️ 删除后无法恢复,依赖此模板的所有证书申请将失败。
将模板分配给 CA
在 CA 管理单元中,右键 "证书模板" → "新建" → "要颁发的证书模板",选择模板。
支付宝微信扫一扫,打赏作者吧~本文链接:https://www.kinber.cn/post/6582.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
