Windows Server 2019 產生 AD 憑證快速步驟

###### tags: `published` # Windows Server 2019 產生 AD 憑證快速步驟以下步驟是使用 Windows Server 2019 STD 評估版為例評估版 Windows Server 可在 [Microsoft Evaluation Center](https://www.microsoft.com/zh-tw/evalcenter/evaluate-windows-server) 下載，自安裝啟用後可==合法==使用 180 天 ## 安裝使用 Windows Server 2019 光碟映像檔開機後，安裝版本選 ==2019 Standard (Desktop Experience)== * Administrator 密碼需記起來，即稍後 AD 管理者密碼 * ==電腦名稱建議改成易辨識的名稱==，例如 chc-dc01 等，之後透過域名連線會用到 ## 設定 AD Domain Service (已有帳號資料者，略過此步驟) 1. 開啟==伺服器管理員== 2. 右上角【管理】下拉選單點選==新增角色及功能== ![](https://i.imgur.com/KjHMvdd.png) 3. 選擇==角色型或功能型安裝== ![](https://i.imgur.com/s4YmMb8.png) ![](https://i.imgur.com/2kt6WVp.png) 4. 勾選 ==Active Directory Domain Services==，跳出提示的附屬元件也一併確認 ![](https://i.imgur.com/Ba2zPiW.png) ![](https://i.imgur.com/qFNL47Q.png) ![](https://i.imgur.com/oCHSWZa.png) 5. 完成設定後，右上角會顯示一個驚嘆號圖示，點開後點選==將此伺服器升級為網域控制站== ![](https://i.imgur.com/T12xYfW.png) 6. ==新增樹系==，根網域請依實際為準，例如：chc.local (本例使用 acme.com) ![](https://i.imgur.com/jmFOS5Q.png) 7. 勾選 ==網域名稱系統 (DNS) 伺服器== 及 ==通用類別目錄 (GC)== ![](https://i.imgur.com/yL19dKP.png) 8. NetBIOS 網域名稱為==大寫==，例如：CHC (本例使用 ACME) ![](https://i.imgur.com/aZ436Vj.png) 9. ==設定好重開機才能生效== 此時已可透過 ==ldap://xxx.xxx.xxx.xxx:389== 連線，帳號為 administrator@chc.local (本例為 administrator@acme.com) ## 設定 AD 憑證服務 1. 開啟==伺服器管理員== 2. 右上角【管理】下拉選單點選==新增角色及功能== ![](https://i.imgur.com/zLHLEBu.png) 3. 選擇==角色型或功能型安裝== ![](https://i.imgur.com/1xAoChL.png) ![](https://i.imgur.com/0qtKDOz.png) 4. 勾選 ==Active Directory 憑證服務==，跳出提示的附屬元件也一併確認 ![](https://i.imgur.com/Vxl8duB.png) ![](https://i.imgur.com/qzh4SH9.png) 5. 只勾選 ==憑證授權單位== ![](https://i.imgur.com/ltHgzTq.png) ![](https://i.imgur.com/SHznTSQ.png) 6. 完成設定後，右上角會顯示一個驚嘆號圖示，點開後點選==設定目的地伺服器上的 Active Directory 憑證服務== ![](https://i.imgur.com/QrXEp1R.png) ![](https://i.imgur.com/UIBT0D6.png) ![](https://i.imgur.com/1cE6Pc2.png) 7. 選擇 ==企業 CA== ![](https://i.imgur.com/PNvysj3.png) 8. 選擇 ==根 CA== ![](https://i.imgur.com/NTq3ySG.png) 9. 選擇 ==建立新的私密金鑰== ![](https://i.imgur.com/kGgqUA7.png) 10. 密碼編譯選項為 ==RSA, 2048, SHA1== ![](https://i.imgur.com/lyoYrQ1.png) 11. ==這個 CA 的一般名稱==建議改為易辨識的名稱，例如：chccert (本例為 acmecert) ![](https://i.imgur.com/fltYQ1z.png) 12. 年限可改為 ==30== 年 ![](https://i.imgur.com/URayFK2.png) ![](https://i.imgur.com/anfimy1.png) 13. ==設定好重開機才能生效== 此時已可透過 ==ldaps://xxx.xxx.xxx.xxx:636== 連線，帳號為 administrator@chc.local (本例為 administrator@acme.com) ## 匯出憑證 1. 在開始功能表按右鍵，選執行，輸入 ==mmc== 打開主控台 2. 工具列【檔案】下拉選單，點選==新增/移除嵌入式管理單元…== ![](https://i.imgur.com/iImWAV8.png) 3. 在左欄的==憑證==點兩下 ![](https://i.imgur.com/ok15Fle.png) 4. 選==電腦帳戶== ![](https://i.imgur.com/cPdAcyK.png) 5. 選==本機電腦 (執行這個主控台的電腦)== ![](https://i.imgur.com/WChKkEp.png) 6. 看到右欄出現 ==憑證 (本機電腦)== 後按確定帶入資訊 ![](https://i.imgur.com/R2xvJ2P.png) 7. 展開 ==憑證 (本機電腦) / 個人 / 憑證== 可看到剛產生的憑證在右欄 (從名稱或效期可分辨出來) ![](https://i.imgur.com/CRHDZd3.png) 8. 在憑證上按右鍵，所有工作 /==匯出== ![](https://i.imgur.com/ZJDHzDJ.png) 9. 選 ==否，不要匯出私密金鑰== ![](https://i.imgur.com/JfRqWkZ.png) 10. 格式選 ==DER 編碼二位元 X.509 (.CER)== ![](https://i.imgur.com/VFJXtpw.png) 11. 指定匯出檔案的位置及名稱，儲存為 chccert.cer (本例為 acmecert.cer) ![](https://i.imgur.com/MCqcuVi.png) 匯入 JDK 的指令為 (請自行將 JAVA_HOME 置換成 JDK 實際路徑) ``sudo JAVA_HOME/bin/keytool -import -alias chccert -file chccert.cer -keystore JAVA_HOME/jre/lib/security/cacerts -storepass changeit``