Compartilhar via


Instalar a autoridade de certificação

Use este procedimento para instalar os AD CS (Serviços de Certificados do Active Directory) para que você possa registrar um certificado de servidor em servidores que executam o NPS (Servidor de Política de Rede), o RRAS (Roteamento e o Serviço de Acesso Remoto) ou ambos.

Importante

  • Antes de instalar os Serviços de Certificados do Active Directory, nomeie o computador, configure o computador com um endereço IP estático e ingresse o computador no domínio. Para obter mais informações sobre como realizar essas tarefas, consulte o Guia da Rede Principal do Windows Server 2016.
  • Para executar este procedimento, o computador no qual você está instalando o AD CS deve estar associado a um domínio no qual o AD DS (Serviços de Domínio Active Directory) esteja instalado.

A associação aos grupos Administradores de Empresa e Admins. do Domínio do domínio raiz é o mínimo exigido para executar este procedimento.

Observação

Para executar este procedimento usando o PowerShell do Windows, abra-o e digite o comando a seguir e pressione ENTER.

Add-WindowsFeature Adcs-Cert-Authority -IncludeManagementTools

Depois que o AD CS for instalado, digite o comando a seguir e pressione ENTER.

Install-AdcsCertificationAuthority -CAType EnterpriseRootCA

Para instalar os Serviços de Certificados do Active Directory

Dica

Se você quiser usar o PowerShell do Windows para instalar os Serviços de Certificados do Active Directory, consulte Install-AdcsCertificationAuthority para cmdlets e parâmetros opcionais.

  1. Faça logon como membro do grupo Administradores de Empresa e do grupo Admins. do Domínio do domínio raiz.

  2. No Gerenciador do Servidor, clique em Gerenciar e depois em Adicionar Funções e Recursos. O Assistente para Adicionar Funções e Recursos é aberto.

  3. Em Antes de Começar, clique em Avançar.

    Observação

    A página Antes de Começar do Assistente para Adicionar Funções e Recursos não é exibida quando você marca a opção Ignorar esta página por padrão quando o Assistente para Funções e Recursos foi executado.

  4. Em Selecionar Tipo de Instalação, verifique se Instalação baseada em função ou recurso está marcada e clique em Avançar.

  5. Em Selecionar servidor de destino, verifique se Selecionar um servidor no pool de servidores está marcada. Em Pool de Servidores, verifique se o computador local está selecionado. Clique em Próximo.

  6. Em Selecionar Funções do Servidor, em Funções, escolha Serviços de Certificados do Active Directory. Ao ser solicitado a adicionar os recursos necessários, clique em Adicionar Recursos e em Avançar.

  7. Em Selecionar Recursos, clique em Avançar.

  8. Em Serviços de Certificado do Active Directory, leia as informações fornecidas e clique em Avançar.

  9. Em Confirmar seleções de instalação, clique em Instalar. Não feche o assistente durante o processo de instalação. Quando a instalação for concluída, clique em Configurar Serviços de Certificados do Active Directory no servidor de destino. O assistente de configuração do AD CS será aberto. Leia as informações de credenciais e, se necessário, forneça as credenciais para uma conta que seja membro do grupo administradores corporativos. Clique em Próximo.

  10. Na página Serviços de Função, clique em Autoridade de Certificação e clique em Avançar.

  11. Na página Tipo de Instalação, verifique se Empresa CA está selecionado e clique em Avançar.

  12. Na página Especificar o Tipo da CA, verifique se CA Raiz está selecionado e clique em Avançar.

  13. Na página Especificar o tipo de chave privada, verifique se Criar uma nova chave privada está selecionado e clique em Avançar.

  14. Na página Criptografia para CA, mantenha as configurações padrão para CSP (Provedor de Armazenamento de Chave de Software RSA#Microsoft) e o algoritmo de (SHA2), e determine o melhor comprimento de chave para sua implantação. Comprimentos de caracteres principais grandes fornecem a segurança ideal, no entanto, eles podem afetar o desempenho do servidor e podem não ser compatíveis com aplicativos herdados. É recomendável manter a configuração padrão de 2048. Clique em Próximo.

  15. Na página Nome da CA, mantenha o nome comum sugerido para a autoridade de certificação ou altere o nome de acordo com suas necessidades. Verifique se você tem certeza de que o nome da AC é compatível com suas convenções e finalidades de nomenclatura, pois não é possível alterar o nome da AC depois de instalar o AD CS. Clique em Próximo.

  16. Na página Período de validade, em Especificar o período de validade, digite o número e selecione um valor de tempo (Anos, Meses, Semanas ou Dias). A configuração padrão de cinco anos é recomendada. Clique em Próximo.

  17. Na página Banco de Dados da AC, em Especificar os locais do banco de dados, especifique o local da pasta para o banco de dados de certificado e o log do banco de dados de certificado. Se você especificar localizações diferentes do padrão, verifique se as pastas estão protegidas com ACLs (listas de controle de acesso) que impedem que usuários ou computadores não autorizados acessem os arquivos de log e o banco de dados da autoridade de certificação. Clique em Próximo.

  18. Em Confirmação, clique em Configurar para aplicar suas seleções e clique em Fechar.