首页> 系统技术> Windows ADCS CA证书续期

[文章]Windows ADCS CA证书续期

收藏
0 1611 0

【摘要】

活动目录证书服务 (AD CS) 提供可自定义的服务,用于颁发和管理使用公钥技术的软件安全系统中使用的公钥基础结构 (PKI) 证书。AD CS 提供的数字证书可用于对电子文档和消息进行加密和数字签名。此外,这些数字证书可用于对网络上的计算机、用户或设备帐户进行身份验证。

【正文】

AD CS中,根和从属的 CA 用于向用户、计算机和服务颁发证书,并管理证书有效性。因而CA证书的有效期必须大于它将要颁发的证书有效期,不然在CA证书过期时,由其颁发的证书也会失效。在配置AD CS过程中,若未进行手动更改时间,那CA证书有效期默认为5年。此文将针对CA证书进行续订,延长过期时间。

   环境准备

1.1       确认现有证书的有效期


2.1       进行现有证书信息的备份

l  右键CA名称,点击所有任务,选择备份CA,打开备份向导


l  点击下一步


l  选择备份全部项目,备份位置


l  为备份输入加密的密码,点击下一步


l  点击完成进行备份


l  检查是否有备份信息


二   续订操作

l  在系统安装盘Windows目录下新建配置文件CAPolicy.inf,内容如下(此次续订20年):

[Version]

Signature="$Windows NT$"

 

[certsrv_server]

RenewalValidityPeriod=Years

RenewalValidityPeriodUnits=20


l 使用命令certutil -setreg CA\ValidityPeriodUnits 20更改证书的有效期。实际上修改了注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\stastudio-DC01-CA\ValidityPeriodUnits的键值


l  ValidityPeriod键值已经为Years,则不需要修改


l  重启CertSvc服务


l  选择CA名称,右键选择所有任务,选择续订CA证书


l  会提示过程中停止AD CS服务,点击是进行


l  选择保留旧的公钥和私钥,即选择否,点击确定


l  等待续订完毕,右键CA名称,选择属性,可看到CA证书位置新增了一张证书,点击查看证书可查看到证书有效期已更新


三   验证配置

3.1       从申请过证书的客户端,点击申请的证书,查看CA证书信息,查看到有效期已更新


3.2       尝试申请证书,查看是否能成功申请