用Windows Server 2012 R2 搭建二层证书服务结构 Part 4

为CA02在CA01根CA上申请证书:

  • 将上一节中生成的req文件拷贝到CA01上:

135607892.jpg

  • 登录CA01,以管理员身份打开powershell,输入:

certreq -submit C:\CA02.contoso.com_contoso-CA02-CA.req

  • 在弹出的窗口点确定:

135939250.jpg

记住此处的RequestID:

140033770.jpg

  • 此时看到挂起的证书中有我们的证书了:

140132428.jpg

  • 右键点击该证书选择颁发:

140224490.jpg

  • 在颁发的证书中,找到我们的证书,记住这个请求ID 2

140336667.jpg

  • 在CA01上以管理员身份打开CMD,输入:

certreq –retrieve 2 C:\CA02.contoso.com_contoso-CA02-CA.crt.

导出证书:

140645563.jpg

140725595.jpg

  • 将所有这些内容放到之前的C:\Cert文件夹中:

140844837.jpg

  • 将该文件夹复制到CA02上的C:\Cert下

  • 登录CA02,打开Powershell,输入:

copy C:\Cert\*.cr* c:\pki\141154172.jpg
certutil –installcert C:\Cert\CA02.contoso.com_contoso-CA02-CA.crt141253622.jpg

start-service certsvc

141328630.jpg

copy c:\Windows\system32\certsrv\certenroll\*.cr* c:\pki\141445515.jpg

此时CA01的任务已经完成,CA02的证书服务成功启动,CA01可以关机了。


配置CA02的AIA,CDP:

在CA02上以管理员身份打开Powershell,输入:

  • certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

141844993.jpg

  • certutil -setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt\n1:file://\\CA02.contoso.com\pki\%1_%3%4.crt"

142037260.jpg

  • Certutil -setreg CA\CRLPeriodUnits 2

142127960.jpg

  • Certutil -setreg CA\CRLPeriod "Weeks"

142204278.jpg

  • Certutil -setreg CA\CRLDeltaPeriodUnits 1

142251509.jpg

  • Certutil -setreg CA\CRLDeltaPeriod "Days"

142331697.jpg

  • Certutil -setreg CA\CRLOverlapPeriodUnits 12

142424786.jpg

  • Certutil -setreg CA\CRLOverlapPeriod "Hours"

142504971.jpg

  • Certutil -setreg CA\ValidityPeriodUnits 5

142544468.jpg

  • Certutil -setreg CA\ValidityPeriod "Years"

142640395.jpg

  • restart-service certsvc

142712510.jpg

  • certutil -crl

142738503.jpg

至此证书服务搭建完成,接下来我们配置自动颁布证书。