我正在为多林环境中的子域设置新的根 ADCS(Active Directory 证书服务器)证书颁发机构,该环境中已经有许多现有 CA。我非常不想重复上一个人所做的事情,即以临时方式设置东西并且不记录任何内容,所以我正在寻找一种方法来标准化我们 CA 的配置。
为此,有没有办法查看/导出/确定 Windows ADCS CA 的配置?具体来说,我似乎无法确定的设置是Private Key Cryptography options,如下面的设置对话框所示。
现有的 CA 是 Server 2008 R2 或 Server 2012 R2,因此理想情况下/希望我正在寻找一种适用于两者的解决方案。
答案1
看看你是否可以CAPolicy.inf从现有 CA 上的 Windows 目录中获取该文件。它应该还在那里。
除此之外,所有内容都在 CA 的注册表中:
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\My-CA
编辑:我误读了“不是重复上一个人做的事”
答案2
我认为您可以使用这些 powershell 扩展从您的 PKI 中提取几乎任何数据 - 不是 100% 确定您的确切查询,但我不明白为什么不能。