windows server 2008 证书服务器-证书续订的问题
问题
答案
-
您好!
如果您需要续订根证书颁发机构 (CA) 的证书,请按以下步骤进行操作:
1. 以本地 Administrators 组成员的身份登录到根 CA 上。
2. 如果要更改密钥大小,需要编辑存储在 %systemroot% 目录下的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小(位)。在下面的示例中,此值为 8,192。
警告:上面显示的密钥大小为 8,192 位,这只是为了说明如何更改密钥大小。使用此密钥大小时要尤其小心。虽然证书服务最高支持 16,384 位的密钥大小,但有些应用程序和系统对根 CA 证书链中的任何证书都不支持大于 2,048 位的密钥大小。如果要更改 CA 证书的有效期限或证书策略,必须在在开始此过程之前,在 CAPolicy.inf 文件(位于 %systemroot%)中进行指定。
3. 打开证书颁发机构管理控制台,在 CA 对象的“任务”菜单中单击“续订 CA 证书”。证书服务警告您必须先停止 CA 才可以进行此操作。
4. 选择新密钥选项。此时将重新启动证书服务。
5. 从 CA 属性中查看证书,并验证最新 CA 证书的“有效期自”日期为当前日期。
6. 使用以下脚本命令颁发 CRL,并将该 CRL 和新的 CA 证书复制到磁盘上:
Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf
7. 将该磁盘插入颁发 CA 中。(严格来讲,该服务器只需是安装了随此解决方案提供的 certutil.exe 和脚本的域成员—而不必是颁发 CA。)
8. 以 Enterprise PKI Admins 组成员的身份登录,然后运行下列脚本:
Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
注意:尽管您不必同时执行此操作,但同时续订所有从属 CA 却是一个好主意。有关详细信息,请参阅如何续订颁发 CA 的证书。
9. 备份根 CA 的证书和密钥。
10.备份根 CA 的证书数据库和系统状态。
更多的信息您可以参考以下文章:续订根证书颁发机构
希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。
如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
立刻免费下载 TechNet 论坛好帮手
- 已标记为答案 Tom Zhang – MSFTModerator 2012年8月31日 6:12
-
您好!
根据我的研究,你也可以参考以下文章来执行操作:
续订根证书颁发机构
http://technet.microsoft.com/zh-cn/library/cc780374(v=WS.10)
希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
- 已标记为答案 Tom Zhang – MSFTModerator 2012年8月31日 6:12
全部回复
-
您好!
如果您需要续订根证书颁发机构 (CA) 的证书,请按以下步骤进行操作:
1. 以本地 Administrators 组成员的身份登录到根 CA 上。
2. 如果要更改密钥大小,需要编辑存储在 %systemroot% 目录下的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小(位)。在下面的示例中,此值为 8,192。
警告:上面显示的密钥大小为 8,192 位,这只是为了说明如何更改密钥大小。使用此密钥大小时要尤其小心。虽然证书服务最高支持 16,384 位的密钥大小,但有些应用程序和系统对根 CA 证书链中的任何证书都不支持大于 2,048 位的密钥大小。如果要更改 CA 证书的有效期限或证书策略,必须在在开始此过程之前,在 CAPolicy.inf 文件(位于 %systemroot%)中进行指定。
3. 打开证书颁发机构管理控制台,在 CA 对象的“任务”菜单中单击“续订 CA 证书”。证书服务警告您必须先停止 CA 才可以进行此操作。
4. 选择新密钥选项。此时将重新启动证书服务。
5. 从 CA 属性中查看证书,并验证最新 CA 证书的“有效期自”日期为当前日期。
6. 使用以下脚本命令颁发 CRL,并将该 CRL 和新的 CA 证书复制到磁盘上:
Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf
7. 将该磁盘插入颁发 CA 中。(严格来讲,该服务器只需是安装了随此解决方案提供的 certutil.exe 和脚本的域成员—而不必是颁发 CA。)
8. 以 Enterprise PKI Admins 组成员的身份登录,然后运行下列脚本:
Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
注意:尽管您不必同时执行此操作,但同时续订所有从属 CA 却是一个好主意。有关详细信息,请参阅如何续订颁发 CA 的证书。
9. 备份根 CA 的证书和密钥。
10.备份根 CA 的证书数据库和系统状态。
更多的信息您可以参考以下文章:续订根证书颁发机构
希望我的回答对您有所帮助,如果有不清楚的地方,请告诉我。
如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
- 已标记为答案 Tom Zhang – MSFTModerator 2012年8月31日 6:12
-
您好!
根据我的研究,你也可以参考以下文章来执行操作:
续订根证书颁发机构
http://technet.microsoft.com/zh-cn/library/cc780374(v=WS.10)
希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
- 已标记为答案 Tom Zhang – MSFTModerator 2012年8月31日 6:12
