投稿
  1. PANGSHARE首页
  2. 微软技术
  3. Windows Server

Windows Sever 2022 部署证书服务(AD CS)

PANGSHARE Windows Server, 微软技术 阅读 100

Windows Server 2022 的企业级部署体系中,Active Directory Certificate ServicesADCS 是实现安全通信、身份验证以及内部 PKI 体系的核心组件。无论是在构建 Exchange Server SE、企业内部 HTTPS 服务、NPS/RADIUS、VPN 环境,还是实现自动证书申请(Auto Enrollment)场景时,ADCS 都是不可或缺的基础服务。

本篇文章作为 Windows Server 2022 系列教程之一,将以图形化向导的方式,完整展示如何安装并配置一套 企业根 CA(Enterprise Root CA,为后续的 Exchange SE、IIS 网站、域控 LDAPS、内部系统 HTTPS 等提供安全可信的证书基础。

如果您正在搭建完整的企业基础架构,本篇将帮助您:

  • 理解在 Windows Server 2022 中部署 ADCS 的正确流程
  • 掌握企业根 CA 的关键配置方法
  • 为 Exchange SE 等上层业务系统提前准备好必需的 PKI 能力

一、 安装 ADCS 角色(Active Directory Certificate Services)

在 Windows Server 上打开 服务器管理器,选择 添加角色和功能,默认选项为“基于角色或基于功能的安装”。

IMG-20251210105329317

继续保留默认选项,点击 下一步

IMG-20251210105408326

在角色列表中勾选 Active Directory 证书服务(ADCS)

IMG-20251210105440106

系统会提示需要添加额外功能,点击 添加功能

IMG-20251210105454947

保持默认设置,点击 下一步

IMG-20251210105509631

功能无需更改,继续点击 下一步

IMG-20251210105519899

阅读 ADCS 说明后点击 下一步

IMG-20251210105529819

根据 Exchange SE 环境需求,勾选以下两个核心角色服务:

  • 证书颁发机构(CA)
  • 证书颁发机构 Web 注册(CA Web Enrollment)

IMG-20251210105623380

继续点击 下一步

IMG-20251210105635159

保持角色服务默认内容,点击 下一步

IMG-20251210105643886

确认配置无误后,点击 安装

IMG-20251210105657701

系统开始安装 ADCS。

IMG-20251210105725200

安装完成后,点击页面中的 配置目标服务器上的 Active Directory 证书服务

IMG-20251210105954281

二、配置 ADCS 企业根 CA

确认当前使用的凭据为域管理员权限。

IMG-20251210110041281

选择需要配置的两个角色服务:

  • 证书颁发机构
  • 证书颁发机构 Web 注册

IMG-20251210110106447

选择 CA 类型为 企业(CA)

IMG-20251210110116183

本次部署选择 根 CA,作为内部 PKI 的信任源。

IMG-20251210110127002

根据实际情况选择是否创建新私钥,本例采用默认设置。

IMG-20251210110135766

加密算法保持默认即可,适用于大多数企业场景。

IMG-20251210110156813

指定 CA 名称,如无特殊需求,可保留默认。

IMG-20251210110208576

设置证书有效期,默认 5 年。

IMG-20251210110216931

指定证书数据库位置,建议生产环境中使用非系统盘,本示例使用默认路径。

IMG-20251210110227204

确认配置信息后,点击 配置

IMG-20251210110234583

证书服务配置成功后,点击 关闭
IMG-20251210110245760

总结

通过本文的图形化操作步骤,您已经完成了在 Windows Server 2022 上部署 Active Directory Certificate Services(ADCS) 并成功配置企业根 CA 的全过程。至此,您的企业环境已经具备了完整的内部 PKI 基础能力,可以为 Exchange SE、内部 IIS HTTPS 服务、域控 LDAPS、安全认证(NPS/RADIUS)、VPN、无线网络、客户端自动证书注册等多个关键业务提供安全可信的证书支持。

在实际企业架构中,ADCS 作为基础安全组件,其规划质量将直接影响整个系统的稳定性、安全性和可维护性。建议在后续工作中进一步评估以下内容:

  • 是否需要部署 二级 CA / 发布 CA(Subordinate CA)
  • 是否需要构建 离线根 CA(Offline Root CA) 以增强整体安全性
  • 是否需要在 Active Directory 中启用 自动注册(Auto Enrollment) 简化证书分发
  • 是否需要结合 Exchange SE、Web 服务、VPN 等场景开展统一证书治理

在接下来的 Windows Server 2022 系列文章中,我们将继续探讨与企业运营紧密相关的其他关键组件,包括 DNS、DHCP、群组策略、NPS、文件服务、和 AD 高可用等内容,帮助您构建完整、专业且可扩展的企业级基础架构。

FAQ

1. 在 Windows Server 2022 环境中,ADCS 主要用于哪些企业场景?

答:ADCS 广泛应用于需要安全通信和身份验证的场景,包括域控 LDAPS、Exchange SE、内部 Web 服务、VPN、NPS/RADIUS、无线认证、自动证书注册(Auto Enrollment)、设备身份管理等,是企业构建零信任和安全网络的核心组件之一。

2. 部署 ADCS 时应选择企业根 CA(Enterprise Root CA)还是独立根 CA?

答:大多数加入域的企业环境均应选择 企业根 CA。它可与 Active Directory 集成,实现自动证书发布与管理;独立根 CA 通常用于高度隔离、无域的特殊场景或离线根 CA 架构。

3. Windows Server 2022 的 CA 有效期为何默认为 5 年?是否可以调整?

答:5 年有效期是兼顾安全性与运维成本的默认值。您可以根据组织的安全策略进行自定义,如提升为 10 年(减少维护成本)或缩短为 2–3 年(提升安全性),但需考虑证书更新带来的工作量。

4. CA Web Enrollment 是否必须部署?在什么情况下建议启用?

答:ADCS 正常运行不依赖 Web Enrollment。

但在以下场景中非常有用:

  • 实验环境需要人工提交证书请求
  • 需要在不加入域的设备上手动申请证书
  • Exchange、IIS、第三方设备需要简化 CSR 流程

若企业侧重自动化证书派发,则可不安装。

5. ADCS 发布的内部证书能否用于外部用户访问 Exchange SE?

答:不建议。内部 CA 证书不被公有浏览器或外部终端信任,会导致安全警告。

推荐策略:

  • 内部访问(Outlook、域成员设备):使用 ADCS 内部证书
  • 外部访问(OWA/ActiveSync):使用可信第三方 CA(例如 DigiCert、GlobalSign)

这是 Exchange SE 最佳实践之一。

相关链接

© 版权信息:
作者:PANGSHARE
发布平台:PANGSHARE | 文章链接:https://www.pangshare.com/windows-server-2022-adcs-deployment/
本文内容仅限非商业性使用,如需商用(包括但不限于广告投放、付费专栏、企业宣传等),请邮件联系原作者获得独家授权,违者将依法追究法律责任。

(0)
打赏 微信扫一扫 微信扫一扫
0 0

关于作者

PANGSHARE的头像

PANGSHARE

245 文章
21 评论
1 问题
3 粉丝
聚焦 IT 运维、服务器管理、系统架构、自动化部署和技术教程,致力于输出清晰、实用、可复现的技术内容。我们希望帮助工程师解决问题、提升效率、减少试错,并构建长期可持续的基础设施。
上一篇 3天前
下一篇 1天前

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

技术交流

有任何问题都能在评论区留言呀~ 小编看到会第一时间回复!

工作时间:周一至周五,9:30-18:30,节假日休息

移动端阅读更便捷,关注公众号提升阅读体验