我有一个离线根,并试图使用 EKU 来约束它,所以它没有所有的应用程序策略。
其中大部分都是反复试验,我想使其更有效率,而不是卸载重新安装子 CA,只是为了获得一个由根签名的新证书。
我如何(使用命令行)重新安装 CA 以便它能够正确生成新的请求文件(由根 ca 处理)并适当地读取CaPolicy.inf和Policy.inf?
答案1
安装 CA
注意这是一行,应该删除 CRLF
Install-AdcsCertificationAuthority -Force -CAType "EnterpriseSubordinateCA" -CryptoProviderName "RSA#Microsoft Software Key Storage Provider"
-HashAlgorithmName "SHA1" -KeyLength "2048"
-CADistinguishedNameSuffix "DC=FreeSMIME,DC=com" -CACommonName "Signing Policy1"
-OutputCertRequestFile "C:\SMIMEPOL01.ad.FreeSMIME.com_ad-SMIMEPOL01-CA-1.req"
-DatabaseDirectory "C:\Windows\system32\CertLog"
-LogDirectory "C:\Windows\system32\CertLog"
删除 CA
Uninstall-AdcsCertificationAuthority -Force
来源:事件日志Microsoft-Windows-CertificateServices-Deployment/Operational