none
windows server 2008 证书服务器-证书续订的问题 RRS feed

  • 问题

  • windows server 2008 R2 证书服务器一台(企业根) 公司域环境,当初为做https,SSTP等申请了几个证书,之后使用了3年,请问证书要是过期了应该怎么办?是从新申请新的证书,还是能续订吗?请高人指点一下,感谢!
    2012年8月21日 7:34

答案

  • 您好! 

    如果您需要续订根证书颁发机构 (CA) 的证书,请按以下步骤进行操作:

    1. 以本地 Administrators 组成员的身份登录到根 CA 上。

    2. 如果要更改密钥大小,需要编辑存储在 %systemroot% 目录下的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小(位)。在下面的示例中,此值为 8,192

    警告:上面显示的密钥大小为 8,192 位,这只是为了说明如何更改密钥大小。使用此密钥大小时要尤其小心。虽然证书服务最高支持 16,384 位的密钥大小,但有些应用程序和系统对根 CA 证书链中的任何证书都不支持大于 2,048 位的密钥大小。如果要更改 CA 证书的有效期限或证书策略,必须在在开始此过程之前,在 CAPolicy.inf 文件(位于 %systemroot%)中进行指定。

    3. 打开证书颁发机构管理控制台,在 CA 对象的“任务”菜单中单击“续订 CA 证书”。证书服务警告您必须先停止 CA 才可以进行此操作。

    4. 选择新密钥选项。此时将重新启动证书服务。

    5. CA 属性中查看证书,并验证最新 CA 证书的“有效期自”日期为当前日期。

    6. 使用以下脚本命令颁发 CRL,并将该 CRL 和新的 CA 证书复制到磁盘上:

    Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf

    Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

    7. 将该磁盘插入颁发 CA 中。(严格来讲,该服务器只需是安装了随此解决方案提供的 certutil.exe 和脚本的域成员而不必是颁发 CA。)

    8. Enterprise PKI Admins 组成员的身份登录,然后运行下列脚本:

    Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

    注意:尽管您不必同时执行此操作,但同时续订所有从属 CA 却是一个好主意。有关详细信息,请参阅如何续订颁发 CA 的证书。

    9. 备份根 CA 的证书和密钥。

    10.备份根 CA 的证书数据库和系统状态。

    
    
    更多的信息您可以参考以下文章:

    续订根证书颁发机构

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/780bd491-dba9-4760-8b77-30c2d88e4044.mspx?mfr=true

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。       


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月22日 6:27
    版主
  • 您好!                         

    根据我的研究,你也可以参考以下文章来执行操作:

    续订根证书颁发机构

    http://technet.microsoft.com/zh-cn/library/cc780374(v=WS.10)


    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月31日 6:12
    版主

全部回复

  • 您好! 

    如果您需要续订根证书颁发机构 (CA) 的证书,请按以下步骤进行操作:

    1. 以本地 Administrators 组成员的身份登录到根 CA 上。

    2. 如果要更改密钥大小,需要编辑存储在 %systemroot% 目录下的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小(位)。在下面的示例中,此值为 8,192

    警告:上面显示的密钥大小为 8,192 位,这只是为了说明如何更改密钥大小。使用此密钥大小时要尤其小心。虽然证书服务最高支持 16,384 位的密钥大小,但有些应用程序和系统对根 CA 证书链中的任何证书都不支持大于 2,048 位的密钥大小。如果要更改 CA 证书的有效期限或证书策略,必须在在开始此过程之前,在 CAPolicy.inf 文件(位于 %systemroot%)中进行指定。

    3. 打开证书颁发机构管理控制台,在 CA 对象的“任务”菜单中单击“续订 CA 证书”。证书服务警告您必须先停止 CA 才可以进行此操作。

    4. 选择新密钥选项。此时将重新启动证书服务。

    5. CA 属性中查看证书,并验证最新 CA 证书的“有效期自”日期为当前日期。

    6. 使用以下脚本命令颁发 CRL,并将该 CRL 和新的 CA 证书复制到磁盘上:

    Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf

    Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

    7. 将该磁盘插入颁发 CA 中。(严格来讲,该服务器只需是安装了随此解决方案提供的 certutil.exe 和脚本的域成员而不必是颁发 CA。)

    8. Enterprise PKI Admins 组成员的身份登录,然后运行下列脚本:

    Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf

    Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

    注意:尽管您不必同时执行此操作,但同时续订所有从属 CA 却是一个好主意。有关详细信息,请参阅如何续订颁发 CA 的证书。

    9. 备份根 CA 的证书和密钥。

    10.备份根 CA 的证书数据库和系统状态。

    
    
    更多的信息您可以参考以下文章:

    续订根证书颁发机构

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/780bd491-dba9-4760-8b77-30c2d88e4044.mspx?mfr=true

    希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。       


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月22日 6:27
    版主
  • 7. 将该磁盘插入颁发 CA 中。(严格来讲,该服务器只需是安装了随此解决方案提供的 certutil.exe和脚本的域成员而不必是颁发 CA。)

    第7部不太容易理解,请问大侠能给点注解吗?非常感谢!

    2012年8月22日 7:40
  • 您好!                         

    根据我的研究,你也可以参考以下文章来执行操作:

    续订根证书颁发机构

    http://technet.microsoft.com/zh-cn/library/cc780374(v=WS.10)


    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年8月31日 6:12
    版主