架設一台企業根 Enterprise root CA。因為之後有些服務可能會使用到憑證理如Exchang & IIS & workfolder & ADRM等服務可以直接來申請使用，當然如果是提供給外部使用者的服務如果需要使用到憑證那就必須要從第三方憑證發放中心來申請當然這就是需要費用的囉。

安裝CA角色:

勾選 AD 憑證服務

因為需要讓用戶可以透過web申請，勾選憑證授權單位網頁註冊

安裝完成後，點選設定AD憑證服務

使用domain admins 來認證

將角色服務勾選，此選項只能勾選前面步驟選擇安裝的角色

選擇企業CA

選擇根CA

因為是新安裝的CA所以選擇建立私密金鑰

密碼編譯，依需求選擇即可

修改 CA 名稱

設定憑證有效日期

依照需求修改CA資料庫及Log路徑

確認後，點選[設定]

CA基本設定完畢

當完成CA安裝設定後，可以利用GPO佈署RootCA用戶端讓用戶信RootCA

開啟CA管理工具

匯出Root CA

在一般頁點選[檢視憑證]

詳細資料標籤> 複製到檔案

出現匯出精靈

選擇 DER編碼

設定匯出的檔名及存放路徑

點選完成就匯出成功

GPO佈署RootCA

因為是要讓網域內電腦都信任此RootCA，在前面步驟匯出的憑證copy到DC上，然後編輯群組原則Default Domain Policy 將憑證匯入後部署下去

電腦原則 > 原則 > Windows 設定 > 安全性設定 > 公開金鑰原則 > 受信任的根憑證授權單位

輸入前面匯出的rootca 路徑

匯入完成

用戶執行gpupdate /force，就會看到佈署rootca成功

以上完成的WS2012R2 CA伺服器架設及佈署之後內部服務就可以直接來申請所需要的憑證

本文同步發佈於MIS的背影:http://blog.pmail.idv.tw/?p=10367