Extending Sub-CA Certificate lifetime
修改RootCA 的有效期間設定,請依照下列步驟。
- 開啟「登錄編輯器」。
- 請找到下面的登錄機碼: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname>
- 請按兩下 ValidityPeriod REG_SZ 登錄值並將有效期間更改為下列其中一個選項:
-Days
-Weeks
-Months
-Years
- 請按兩下ValidityPeriodUnits REG_DWORD 登錄值並更改您想要的日,周,月或年等數字 (例如 1,2,3, 等等)。
- 停止然後重新啟動「憑證服務」。
2. 建立 SubCA 新範本 . 並發佈此新SubCa 範本
請您在憑證範本console 下,複製 “附屬憑證授權單位” 建立新範本 , ex: SubCa2 ,自定您的年限 . PS: Default SubCA 憑證為 5年
新增完成後.請您確認rootCa上有發行此subca2 憑證.
3.SUBCA 更新CA憑證 , 產生 .req file
建立C:\windows\Capolicy.inf
文件內容:
[RequestAttributes]
CertificateTemplate = <your custom SubCA template>
開啟 SubCA 並點右鍵.點選所有工作 \ 更新CA憑證
請按 " 是 "
請點選 "否No"
請按"取消" ,將會儲存 要求憑證檔案在C:\
檢視C:\ 要求憑證檔案
4. 要求憑證 , 提供使 .req file 進行申請憑證
要求憑證 :
瀏覽 RootCa Certsrv網頁,點選 " 要求憑證 "
請點選 " 進階憑證要求 "
請將要求憑證檔案.載入.或是將其內容貼上 ,然後按 "提交"
您會看到此要求憑證 識別碼
5. RootCA 發行憑證 , 允許此SUBCA要求的憑證
RootCA 發行憑證 :
根據要求識別碼.到 rootca 上 ,去發行此憑證. 在"擱置要求" 檢視要發行憑證,按右鍵 所有工作 \ 發行
6. 檢視申請的憑證並下載已經發行憑證
檢視申請的憑證並下載已經發行憑證瀏覽到RootCa certsrv 網頁.點選 "檢視擱置中的憑證要求狀態 "
您可以看到 "已儲存要求的憑證"
請您點選"下載憑證 "
7. SUBCA安裝CA憑證及檢視憑證
在SubCA 按右鍵,點選 所有工作 \ 安裝CA憑證
請按 " 是 "
瀏覽到您儲存的憑證
匯入後.您亦可以檢視 SubCA 內容, "檢視憑證 "
您就可以檢視目前要求的憑證資訊.
8. 針對此 SUBCA 同 Site 的一台DC 進行向外同步所有DCs
在這台DC上,開啟Dos Command 視窗.並輸入
repadmin /syncall /d /e /P