操作系统：WinServer 2019

AD域服务器安装CA服务

1. 点击管理-添加角色和功能

2. 点击下一页

3. 点击 基于角色或基于功能的安装

4. 点击 从服务器池中选择服务器-选择要安装的主机-点击下一页

5. 点击 Active Directory 证书服务-Web服务器、网络策略和访问网络服务-下一页

6. 点击下一页

7. 选择 证书颁发机构、联机响应程序、网络设备注册服务、证书颁发机构web注册

8. 点击安装

9. 可能需要重新启动，可以选择合适的时间重启。

配置CA服务器

1. 点击通知，此时应该湖出现感叹号

2. 点击 配置目标服务器上的Active Directory证书服务

3. 点击下一页

4. 点击证书颁发机构、证书颁发机构Web注册

5. 选择企业CA-下一页

6. 选择根CA -下一页

7. 创建新的私钥-下一页

8. 创建私钥，建议选择稍微高一点的策略，例如SHA-512 长度4096等。防止在ldap连接时遇到证书太过简单而拒绝的情况。

9. 点击下一页-下一页-下一页

10 . 点击配置

11. 点击下一页

12. 至此已结束CA服务角色的的配置

​ 可以通过以下命令可以导出根证书。

certutil -ca.cert root.cer