用Windows Server 2012 R2 搭建二层证书服务结构 Part 2:

4.配置根CA设置

  • 打开证书颁发机构工具:

111154610.jpg

  • 在吊销的证书位置右键点击属性:

111249782.jpg

  • 确认此处未选中:

111425167.jpg

  • 右键点击ContosoRootCA,点击属性:

111731752.jpg

查看扩展选项卡下面的红圈内容,一会儿我们要修改这个:

111823161.jpg

  • 以管理员身份打开Windows Powershell运行下面的命令:

 

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

112041697.jpg

certutil –setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt"

112219912.jpg

Certutil -setreg CA\CRLOverlapPeriodUnits 12

112317706.jpg

Certutil -setreg CA\CRLOverlapPeriod "Hours"

112408313.jpg

Certutil -setreg CA\ValidityPeriodUnits 10

112444713.jpg

Certutil -setreg CA\ValidityPeriod "Years"

112532114.jpg

certutil -setreg CA\DSConfigDN “CN=Configuration,DC=corp,DC=contoso,DC=com”

112717507.jpg

restart-service certsvc

112842340.jpg

certutil -crl

112852183.jpg

  • 重新打开ContosoRootCA的属性,看到我们添加的内容:

113012561.jpg

  • 因为我们的RootCA将来是要关机保存的,所以现在将吊销列表等内容考出去:

在C盘根目录下建立一个Cert的文件夹

打开Powershell输入:

copy C:\Windows\system32\certsrv\certenroll\*.cr* C:\Cert\

114000678.jpg

dir C:\Cert

114028603.jpg