增加ActiveDirectory證書服務器有效期與續訂步驟
阿新 • • 發佈:2018-05-20
CA平常我們安裝的AD證書服務器默認一般是5年,如果到期之後如何續訂?如果想要把CA根證書的有效期增加到10年、20年、50年怎麽辦?
下面一起來看下如何操作吧。
首先我們需要備份一下現有環境的CA,打開“證書頒發機構”,點擊“所有任務”-“備份CA”
點擊下一步!
勾選“私鑰和CA證書”,“證書數據庫和證書數據庫日誌”,選擇備份路徑,下一步
輸入一個密碼,下一步
備份完成
現在我們想增加CA根證書的有效期,先看下現有的CA根證書的有效期,點擊屬性
可以看到現在只有一個證書#0,有效期是10年
下面開始增加CA根證書有效期,增加到50年,在%SYSTEMROOT%目錄下創建一個叫CAPpolicy.inf的文件,內容如下:
[Version]
Signature=”$Windows NT$”
開始續訂證書,點擊“所有任務”-“續訂CA證書”
續訂過程需要停止證書服務,點擊是
如果你需要生成一個新的公鑰和私鑰對,則選擇是,這裏我選擇否,讓程序還使用舊的秘鑰
續訂完成,我們查看證書屬性,發現多了一個證書#1,有效期已經變為50年
下面一起來看下如何操作吧。
首先我們需要備份一下現有環境的CA,打開“證書頒發機構”,點擊“所有任務”-“備份CA”
點擊下一步!
勾選“私鑰和CA證書”,“證書數據庫和證書數據庫日誌”,選擇備份路徑,下一步
輸入一個密碼,下一步
備份完成
現在我們想增加CA根證書的有效期,先看下現有的CA根證書的有效期,點擊屬性
可以看到現在只有一個證書#0,有效期是10年
下面開始增加CA根證書有效期,增加到50年,在%SYSTEMROOT%目錄下創建一個叫CAPpolicy.inf的文件,內容如下:
[Version]
[certsrv_server]
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=50
運行以下命令設置證書最大有效期。
certutil -setreg CA\ValidityPeriodUnits 50
certutil -setreg CA\ValidityPeriod "Years"
重啟certsvc服務
可以到以下註冊表下查看ValidityPeriodUnits是否已經更改。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname>
續訂過程需要停止證書服務,點擊是
如果你需要生成一個新的公鑰和私鑰對,則選擇是,這裏我選擇否,讓程序還使用舊的秘鑰
續訂完成,我們查看證書屬性,發現多了一個證書#1,有效期已經變為50年
增加ActiveDirectory證書服務器有效期與續訂步驟