27、深入解析Windows Server 2008证书服务安装与管理

深入解析Windows Server 2008证书服务安装与管理

1. 安装前的准备

在Windows Server 2008中，由于Server Core可用的服务器角色有限，无法在Server Core安装的Windows Server 2008上安装AD CS。在开始安装证书服务之前，需要完成以下准备工作：
- 确保计算机名称无需更改，因为完成AD CS设置后更改计算机名称会使该计算机上CA颁发的所有证书失效。
- 确定计算机的域状态，根据要安装的CA类型，计算机可能需要是域控制器，安装完成后将无法更改计算机的域成员身份，但重命名域时只需重新配置CA以支持名称更改。
- 确保运行的Windows Server 2008版本适合要配置的CA类型。
- 建立CA命名约定，该名称将成为CA的通用名称，且会反映在该CA颁发的每个证书中，微软建议不要使用完全限定域名作为CA的通用名称，CA名称不能超过64个字符。
- 为安全起见，确保有可用的NTFS分区或卷来安装CA数据库，数据库的默认位置是 systemroot\system32\certlog ，数据库文件的实际名称基于CA的名称，扩展名为 .edb 。

不同版本的Windows Server 2008对AD CS功能的支持情况如下表所示：
| AD CS功能 | Web版 | 标准版 | 企业版 | 数据中心版 |
| — | — | — | — | — |
| 版本2和3证书模板 | 否 | 否 | 是 | 是 |
| 密钥存档 | 否 | 否 | 是 | 是 |
| 角色分离 | 否