在RootCA上安装独立根CA

clip_image002

clip_image004

clip_image006

clip_image008

clip_image010

clip_image012

clip_image014

clip_image016

域环境下安装子CA

clip_image018

clip_image020

clip_image022

clip_image024

clip_image026

clip_image028

选择CA申请文件保存路径

clip_image030

clip_image032

用记事本打开申请文件

clip_image034

高级证书申请

clip_image036

clip_image038

RootCA颁发证书

clip_image040

clip_image042

下载申请好的证书两种格式都下载

clip_image044

给子CA安装证书

clip_image046

clip_image048

clip_image050

CA故障:由于吊销服务器已脱机 ,吊销功能无法检查吊销

由于吊销服务器已脱机 ,吊销功能无法检查吊销。

吊销服务尝试启动,错误为RPC服务器未响应。

CMD运行:

certutil.exe -setreg CA\LogLevel 2

提示旧值

LogLevel REG_DWORD = 3

新值

LogLevel REG_DWORD = 2

完成之后CA正常启动。该CA为独立CA,从企业CA获取信息发布证书。

Net start certsrv 启用证书服务

Net stop certsrv 停用证书服务

Net pause certsrv 暂停证书服务

通过组策略信任证书颁发机构

clip_image052

clip_image054

clip_image056

刷新组策略 gpupdate /force

申请邮箱制定邮箱属性

clip_image058

申请用户证书

clip_image060

clip_image062

申请证书失败检测吊销服务器

当使用Windows Server 2008安装CA服务器,选择"独立从属CA"完成安装步骤后,无法启动证书服务,提示"由于吊销服务器已脱机 ,吊销功能无法检查吊销"错误。

解决方法是在CMD命令行下输入命令不验证吊销服务器(注意要在从属CA服务器停止时输入):

certutil.exe -setreg ca\CRLFLags +CRLF_REVCHECK_IGNORE_OFFLINE (不检测)

执行之后再次启动从属CA服务器,成功。测试之后颁发、吊销、撤销吊销功能一切正常。

如果要再次开启验证吊销服务器,可以将+变成-:

certutil.exe -setreg ca\CRLFLags -CRLF_REVCHECK_IGNORE_OFFLINE (检测)

clip_image064

为邮箱配置证书进行签名和加密

clip_image066

clip_image068

clip_image070

导出用户数字证书

clip_image072

一并导出私钥

clip_image074

设置密码,恢复证书要用的

clip_image076

clip_image078

默认情况下,在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL:

Systemroot\system32\CertSrv\CertEnroll\

如果 Active Directory 目录服务可用,它们也发布到 Active Directory。

使用命令行

打开 命令提示符。

键入:

certutil -crl

配置企业CA允许所有经过身份验证的用户自动申请证书 配置组策略为域用户自动颁发证书。

clip_image080

域环境配置EFS故障代理

clip_image082

导出代理密钥

clip_image084