本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Windows Server 配置为具有 Client SDK 5 的证书颁发机构（CA）
<a name="win-ca-overview-sdk5"></a>

在公有密钥基础设施 (PKI) 中，证书颁发机构 (CA) 是一个颁发数字证书的可信实体。这些数字证书通过公有密钥加密和数字签名的方式，将公有密钥与身份（用户或组织）绑定。要操作 CA，您必须通过保护签署由 CA 颁发的证书的私有密钥来维持信任。您可以将此私有密钥存储至 AWS CloudHSM 集群的 HSM，然后使用 HSM 执行加密签名操作。

在本教程中，您将使用 Windows 服务器和 AWS CloudHSM 来配置 CA。在 Windows Server 上安装适用于 Windows 的 AWS CloudHSM 客户端软件，然后将 Active Directory 证书服务 (AD CS) 角色添加到 Windows Server。配置此角色时，您可以使用 AWS CloudHSM 密钥存储提供程序 (KSP) 在 AWS CloudHSM 集群上创建和存储 CA 的私钥。KSP 是将 Windows 服务器连接到 AWS CloudHSM 集群的桥梁。在最后一个步骤中，您使用 Windows Server CA 签署证书签名请求 (CSR)。

有关更多信息，请参阅以下主题：

**Topics**
+ [步骤 1：设置先决条件](#win-ca-prerequisites-sdk5)
+ [步骤 2：使用创建 Windows 服务器 CA AWS CloudHSM](#win-ca-setup-sdk5)
+ [第 3 步：使用您的 Windows 服务器证书颁发机构签署证书签名请求 (CSR) AWS CloudHSM](#win-ca-sign-csr-sdk5)

## 步骤 1：设置先决条件
<a name="win-ca-prerequisites-sdk5"></a>

要将 Windows 服务器设置为证书颁发机构 (CA) AWS CloudHSM，你需要满足以下条件：
+ 至少有一个 HSM 的活动 AWS CloudHSM 集群。
+ 运行 Windows 服务器操作系统且安装了 Windows AWS CloudHSM 客户端软件的 Amazon EC2 实例。本教程使用的是 Microsoft Windows Server 2016。
+ 一个加密用户 (CU)，该用户拥有和管理 HSM 上的 CA 私有密钥。

**要设置 Windows 服务器 CA 的先决条件，请使用 AWS CloudHSM**

1. 完成 [开始使用](getting-started.md) 中的步骤。启动 Amazon EC2 客户端时，选择 Windows Server AMI。本教程使用的是 Microsoft Windows Server 2016。完成这些步骤后，您有一个至少包含一个 HSM 的活动集群。你还有一个运行 Windows 服务器的 Amazon EC2 AWS CloudHSM 客户端实例，其中安装了 Windows 客户端软件。

1. （可选） HSMs 向您的集群添加更多内容。有关更多信息，请参阅 [向集群添加 HS AWS CloudHSM M](add-hsm.md)。

1. 连接到您的客户端实例。有关详细信息，请参阅《*Amazon EC2 用户指南*》中的[连接到您的实例](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 通过[使用 CloudHSM CLI 管理 HSM 用户](manage-hsm-users-chsm-cli.md)或[使用 CloudHSM 管理实用程序（CMU）管理 HSM 用户](manage-hsm-users-cmu.md)来创建加密用户（CU）。跟踪 CU 用户名和密码。您需要这些信息才能完成下一步。

1. 使用您在上一步中创建的 CU 用户名和密码[设置 HSM 的登录凭证](ksp-library-authentication.md)。

1. 在步骤 5 中，如果您使用 Windows 凭据管理器设置 HSM 凭据，请[https://live.sysinternals.com/psexec.exe](https://live.sysinternals.com/psexec.exe)从下载并以 *NT Auth SysInternals ority\\ SYST* EM 的身份运行以下命令：

   ```
   psexec.exe -s "C:\Program Files\Amazon\CloudHsm\tools\set_cloudhsm_credentials.exe" --username {{<USERNAME>}} --password {{<PASSWORD>}}
   ```

   用 HSM 凭证替换{{<USERNAME>}}和{{<PASSWORD>}}。

要使用创建 Windows 服务器 CA AWS CloudHSM，请转至[创建 Windows Server CA](#win-ca-setup-sdk5)。

## 步骤 2：使用创建 Windows 服务器 CA AWS CloudHSM
<a name="win-ca-setup-sdk5"></a>

要创建 Windows Server CA，您将向 Windows Server 添加 Active Directory 证书服务 (AD CS) 角色。添加此角色时，您可以使用 AWS CloudHSM 密钥存储提供程序 (KSP) 在 AWS CloudHSM 集群上创建和存储 CA 的私钥。

**注意**  
创建 Windows Server CA 时，您可以选择创建根 CA 或从属 CA。您通常根据组织的公有密钥基础设施和安全策略的设计制定此决策。本教程介绍了如何创建根 CA 以简化操作。

**向 Windows Server 添加 AD CS 角色和创建 CA 的私有密钥**

1. 如果您尚未完成此操作，请连接到您的 Windows 服务器。有关详细信息，请参阅《*Amazon EC2 用户指南*》中的[连接到您的实例](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 在 Windows 服务器上，启动**服务器管理器**。

1. 在**服务器管理器**控制面板中，选择**添加角色和功能**。

1. 阅读**开始之前**信息，然后选择**下一步**。

1. 对于**安装类型**，选择**基于角色或基于功能的安装**。然后选择**下一步**。

1. 对于**服务器选择**，选择**从服务器池中选择服务器**。然后选择**下一步**。

1. 对于**服务器角色**，请执行以下操作：

   1. 选择 **Active Directory 证书服务**。

   1. 对于**添加 Active Directory 证书服务所需的功能**，选择**添加功能**。

   1. 选择**下一步**完成选择服务器角色。

1. 对于**功能**，接受默认值，然后选择**下一步**。

1. 对于 **AD CS**，请执行以下操作：

   1. 选择**下一步**。

   1. 选择**证书颁发机构**，然后选择**下一步**。

1. 对于**确认**，阅读确认信息，然后选择**安装**。不要关闭该窗口。

1. 选择突出显示的**配置目标服务器上的 Active Directory 证书服务**链接。

1. 对于**凭据**，请验证或更改显示的凭证。然后选择**下一步**。

1. 对于**角色服务**，选择**证书颁发机构**。然后选择**下一步**。

1. 对于**设置类型**，选择**独立 CA**。然后选择**下一步**。

1. 对于 **CA 类型**，选择**根 CA**。然后选择**下一步**。
**注意**  
您可以选择根据公有密钥基础设施和您组织的安全策略的设计创建根 CA 或从属 CA。本教程介绍了如何创建根 CA 以简化操作。

1. 对于**私有密钥**，选择**新建私有密钥**。然后选择**下一步**。

1. 对于**加密**，请执行以下操作：

   1. 对于**选择加密提供程序**，从菜单中选择一个 **CloudHSM 密钥存储提供程序**选项。这些是 AWS CloudHSM 密钥存储提供程序。例如，可以选择 **RSA\#CloudHSM 密钥存储提供程序**。

   1. 对于**密钥长度**，从中选择一个密钥长度选项。

   1. 对于**选择用于签署此 CA 颁发的证书的哈希算法**，请选择其中一个哈希算法选项。

   选择**下一步**。

1. 对于 **CA 名称**，请执行以下操作：

   1. （可选）编辑公用名。

   1. （可选）键入可分辨名称后缀。

   选择**下一步**。

1. 对于**有效期**，指定时间段（以年、月、周或天为单位）。然后选择**下一步**。

1. 对于**证书数据库**，您可以接受默认值，也可以选择更改数据库和数据库日志的位置。然后选择**下一步**。

1. 对于**确认**，请查看有关 CA 的信息；然后选择**配置**。

1. 选择**关闭**，然后再次选择**关闭**。

你现在有了带的 Windows 服务器 CA AWS CloudHSM。要了解如何使用 CA 签署证书签名请求 (CSR) 的信息，请转到[签署 CSR](#win-ca-sign-csr-sdk5)。

## 第 3 步：使用您的 Windows 服务器证书颁发机构签署证书签名请求 (CSR) AWS CloudHSM
<a name="win-ca-sign-csr-sdk5"></a>

你可以使用你的 Windows 服务器 CA AWS CloudHSM 来签署证书签名请求 (CSR)。要完成这些步骤，您需要一个有效的 CSR。可以通过以下方法来创建 CSR：
+ 使用 OpenSSL
+ 使用 Windows Server Internet Information Services (IIS) 管理器
+ 使用 Microsoft 管理控制台中的证书单元
+ 在 Windows 上使用 **certreq** 命令行实用程序

创建 CSR 的步骤不在本教程的介绍范围之内。如果您有 CSR，则可使用您的 Windows Server CA 登录。

**使用 Windows Server CA 登录 CSR**

1. 如果您尚未完成此操作，请连接到您的 Windows 服务器。有关详细信息，请参阅《*Amazon EC2 用户指南*》中的[连接到您的实例](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/EC2_GetStarted.html#ec2-connect-to-instance-windows)。

1. 在 Windows 服务器上，启动**服务器管理器**。

1. 在**服务器管理器**控制面板的右上角，选择**工具**、**证书颁发机构**。

1. 在**证书颁发机构**窗口中，选择您的计算机名称。

1. 在**操作**菜单上，选择**所有任务**、**提交新请求**。

1. 选择 CSR 文件，然后选择**打开**。

1. 在**证书颁发机构**窗口中，双击 **待定的请求**。

1. 选择待定的请求。然后在**操作**菜单上，选择**所有任务**、**颁发**。

1. 在**证书颁发机构**窗口中，双击 **已发出的请求**以查看签署的证书。

1. （可选）要将签署的证书导出到文件中，请完成以下步骤：

   1. 在**证书颁发机构**窗口中，双击证书。

   1. 选择**详细信息**选项卡，然后选择**复制到文件**。

   1. 按照**证书导出向导**的说明操作。

现在，你有一个 Windows 服务器 CA 和一个由 Windows Server CA 签署的有效证书。 AWS CloudHSM