本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Windows Server CA 步骤 2:创建使用 AWS CloudHSM 的 Windows Server CA
要创建 Windows Server CA,您将向 Windows Server 添加 Active Directory 证书服务 (AD CS) 角色。添加此角色时,您可以使用 AWS CloudHSM 密钥存储提供程序 (KSP) 在 AWS CloudHSM 集群上创建和存储 CA 的私钥。
注意
创建 Windows Server CA 时,您可以选择创建根 CA 或从属 CA。您通常根据组织的公有密钥基础设施和安全策略的设计制定此决策。本教程介绍了如何创建根 CA 以简化操作。
向 Windows Server 添加 AD CS 角色和创建 CA 的私有密钥
-
如果您尚未完成此操作,请连接到您的 Windows 服务器。有关更多信息,请参阅 Amazon EC2 用户指南中的 “连接到您的实例”。
在 Windows 服务器上,启动服务器管理器。
在服务器管理器控制面板中,选择添加角色和功能。
阅读开始之前信息,然后选择下一步。
对于安装类型,选择基于角色或基于功能的安装。然后选择下一步。
对于服务器选择,选择从服务器池中选择服务器。然后选择下一步。
-
对于服务器角色,请执行以下操作:
-
选择 Active Directory 证书服务。
-
对于添加 Active Directory 证书服务所需的功能,选择添加功能。
-
选择下一步完成选择服务器角色。
-
对于功能,接受默认值,然后选择下一步。
对于 AD CS,请执行以下操作:
-
选择下一步。
-
选择证书颁发机构,然后选择下一步。
-
对于确认,阅读确认信息,然后选择安装。不要关闭该窗口。
选择突出显示的配置目标服务器上的 Active Directory 证书服务链接。
对于凭据,请验证或更改显示的凭证。然后选择下一步。
对于角色服务,选择证书颁发机构。然后选择下一步。
对于设置类型,选择独立 CA。然后选择下一步。
对于 CA 类型,选择根 CA。然后选择下一步。
注意
您可以选择根据公有密钥基础设施和您组织的安全策略的设计创建根 CA 或从属 CA。本教程介绍了如何创建根 CA 以简化操作。
-
对于私有密钥,选择新建私有密钥。然后选择下一步。
-
对于加密,请执行以下操作:
-
对于选择加密提供程序,从菜单中选择一个 Cavium 密钥存储提供程序。这些是 AWS CloudHSM 密钥存储提供程序。例如,您可以选择 RSA # Cavium 密钥存储提供程序。
-
对于密钥长度,从中选择一个密钥长度选项。
-
对于选择用于签署此 CA 颁发的证书的哈希算法,请选择其中一个哈希算法选项。
选择下一步。
-
对于 CA 名称,请执行以下操作:
-
(可选)编辑公用名。
-
(可选)键入可分辨名称后缀。
选择下一步。
-
对于有效期,指定时间段(以年、月、周或天为单位)。然后选择下一步。
对于证书数据库,您可以接受默认值,也可以选择更改数据库和数据库日志的位置。然后选择下一步。
对于确认,请查看有关 CA 的信息;然后选择配置。
选择关闭,然后再次选择关闭。
你现在有了带的 Windows 服务器 CA AWS CloudHSM。要了解如何使用 CA 签署证书签名请求 (CSR) 的信息,请转到签署 CSR。