从离线根目录安装 Windows 子 CA 时,如何在不重新安装的情况下“重新创建”它?

从离线根目录安装 Windows 子 CA 时,如何在不重新安装的情况下“重新创建”它?

我有一个离线根,并试图使用 EKU 来约束它,所以它没有所有的应用程序策略。

其中大部分都是反复试验,我想使其更有效率,而不是卸载重新安装子 CA,只是为了获得一个由根签名的新证书。

我如何(使用命令行)重新安装 CA 以便它能够正确生成新的请求文件(由根 ca 处理)并适当地读取CaPolicy.infPolicy.inf

答案1

安装 CA

注意这是一行,应该删除 CRLF

Install-AdcsCertificationAuthority -Force -CAType "EnterpriseSubordinateCA" -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" 
 -HashAlgorithmName "SHA1" -KeyLength "2048"
 -CADistinguishedNameSuffix "DC=FreeSMIME,DC=com" -CACommonName "Signing Policy1" 
 -OutputCertRequestFile "C:\SMIMEPOL01.ad.FreeSMIME.com_ad-SMIMEPOL01-CA-1.req" 
 -DatabaseDirectory "C:\Windows\system32\CertLog"
 -LogDirectory "C:\Windows\system32\CertLog"

删除 CA

Uninstall-AdcsCertificationAuthority -Force

来源:事件日志Microsoft-Windows-CertificateServices-Deployment/Operational

相关内容