Extending Sub-CA Certificate lifetime

  • Article

修改RootCA 的有效期間設定,請依照下列步驟。

  1. 開啟「登錄編輯器」。
  2. 請找到下面的登錄機碼: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname>
  3. 請按兩下 ValidityPeriod REG_SZ 登錄值並將有效期間更改為下列其中一個選項:

-Days
-Weeks
-Months
-Years

  1. 請按兩下ValidityPeriodUnits REG_DWORD 登錄值並更改您想要的日,周,月或年等數字 (例如 1,2,3, 等等)。
  2. 停止然後重新啟動「憑證服務」。

2. 建立 SubCA 新範本 . 並發佈此新SubCa 範本

請您在憑證範本console 下,複製 “附屬憑證授權單位” 建立新範本 , ex: SubCa2 ,自定您的年限 . PS: Default SubCA 憑證為 5年

clip_image002

clip_image004

新增完成後.請您確認rootCa上有發行此subca2 憑證.

clip_image006

3.SUBCA 更新CA憑證 , 產生 .req file

建立C:\windows\Capolicy.inf

文件內容:

[RequestAttributes]
CertificateTemplate = <your custom SubCA template>

開啟 SubCA 並點右鍵.點選所有工作 \ 更新CA憑證

clip_image010

請按 " "

clip_image012

請點選 "否No"

clip_image014

請按"取消" ,將會儲存 要求憑證檔案在C:\

clip_image016

檢視C:\ 要求憑證檔案

clip_image018

4. 要求憑證 , 提供使 .req file 進行申請憑證

要求憑證 :

瀏覽 RootCa Certsrv網頁,點選 " 要求憑證 "

clip_image020

請點選 " 進階憑證要求 "

clip_image022

請將要求憑證檔案.載入.或是將其內容貼上 ,然後按 "提交"

clip_image024

您會看到此要求憑證 識別碼

clip_image026

5. RootCA 發行憑證 , 允許此SUBCA要求的憑證

RootCA 發行憑證 :

根據要求識別碼.到 rootca 上 ,去發行此憑證. 在"擱置要求" 檢視要發行憑證,按右鍵 所有工作 \ 發行

clip_image028

6. 檢視申請的憑證並下載已經發行憑證

檢視申請的憑證並下載已經發行憑證瀏覽到RootCa certsrv 網頁.點選 "檢視擱置中的憑證要求狀態 "

clip_image030

您可以看到 "已儲存要求的憑證"

clip_image032

請您點選"下載憑證 "

clip_image034

7. SUBCA安裝CA憑證及檢視憑證

在SubCA 按右鍵,點選 所有工作 \ 安裝CA憑證

clip_image036

請按 " "

clip_image012[1]

瀏覽到您儲存的憑證

clip_image038

匯入後.您亦可以檢視 SubCA 內容, "檢視憑證 "

clip_image040

您就可以檢視目前要求的憑證資訊.

clip_image042

8. 針對此 SUBCA Site 的一台DC 進行向外同步所有DCs

在這台DC上,開啟Dos Command 視窗.並輸入

repadmin /syncall /d /e /P

clip_image044