Быстрая установка Certificate Authority на Windows Server 2012R2 с помощью PowerShell

Как правило ЦС (Центр сертификации) на Windows Server все ставят через GUI, но иногда гораздо удобнее это сделать на PowerShell.

Как? Читайте ниже.

Исходные данные:
ОС: Windows Server 2012 R2
Общее имя ЦС: MyORG-CA
Тип ЦС: EnterpriseRootCA

Установка ЦС

Запускаем PowerShell от имени Администратора и вводим:

Add-WindowsFeature ADCS-Cert-Authority RSAT-ADCS-Mgmt
Install-AdcsCertificationAuthority -CACommonName MyORG-CA -CAType EnterpriseRootCA -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -KeyLength 2048 -HashAlgorithmName SHA256 -ValidityPeriod Years -ValidityPeriodUnits 10 -DatabaseDirectory c:\CertDB -LogDirectory c:\CertLog

Краткие пояснения по параметрам:
Общее имя ЦС: MyORG-CA
Тип ЦС: EnterpriseRootCA
Длина приватного ключа: 2048 bit
Алгоритм хеширования: SHA256
Срок действия корневого сертификата: 10 лет
Путь для хранения базы ЦС: c:\CertDB
Путь для хранения лог-файлов ЦС: c:\CertLog

Далее устанавливаем корневой сертификат в хранилище доверенных корневых центров сертификации:

certutil -pulse

Настраиваем политику автоматической выдачи сертификатов для наших ПК:

Set-CertificateAutoEnrollmentPolicy -PolicyState Enable -context Machine -EnableTemplateCheck

Далее к оснастке GPO в разделе «Default Domain Policy» -> «Computer Configuration» устанавливаем настройки как на скриншоте ниже:

На этом первоначальная настройка ЦС на Windows Server завершена.