【原理】
重装CA是将证书颁发机构角色删除后,在同一台CA服务器使用原有的密钥重新添加角色,保证除有效期之外的所有配置和数据库都和原CA一致,这样重装之后的CA在客户端看来是没有变化的,同样可以申请证书,续订旧CA颁发的证书,也可以创建更长期限的证书模板申请有效期更长的证书。
【操作步骤】
本文档实现的环境为Windows Server 2008 R2的域环境下的企业根CA。
1. 调研现有CA根证书类型:
此步骤目的是保证重装后的CA配置和原有的一致,以免造成冲突。需要了解现有CA的加密服务提供程序(CSP)的程序和哈希算法,还有证书数据库的存储位置,因为这些内容在重装的时候需要配置。
1) 选中根CA名称,右键选择“属性”,打开根CA属性;
2) 在“常规”选项卡,记录“加密设置”下的“提供程序”和“哈希算法”;
3) 选择“查看证书”,在“详细信息”中找到“公钥”,记录是2048位的RSA,还是1024位的DSA;
4) 在“存储选项卡”记录证书数据库和申请日志的路径;
2. 备份CA
备份CA的目的首先是为安全起见,同时,在重装CA后,在CA管理控制台的颁发证书列表会清空,需要将备份的还原。
1) 选中CA根证书,右击>所有任务>备份CA;
2) 选择要备份的项目和路径,勾选“私钥和CA证书”,“证书数据库和证书数据库日志”;
3. 卸载CA
1) 打开“服务器管理器”,点击“删除角色”;
2) 去掉“AD证书服务”的勾选项,按照提示操作直至删除角色;
3) 删除成功后最好重启服务器;
4. 重装CA
1) 在“服务器管理器”点击“添加角色”;
2) 勾选“AD证书服务”;
3) 勾选“证书颁发机构web注册”
4) 在“安装类型”和“CA类型”分别选择“企业”和“根CA”
5) 在“私钥”,选择“选择现有私钥”下的“选择此计算机上的现有私钥”
6) 此时,在“选择您要用于此CA的密钥”处会有一个和旧CA根证书名字一样的密钥,选中点下一步即可
7) 如果没有出现,则可以点击“编辑”按钮,在编辑搜索条件,这里就需要我们在第1步中调研CA的证书类型记录,将CSP(加密服务提供程序)和CA公用名改为和旧CA一致,点击搜索即可;
8) 选择和旧CA一样的加密方式,这里同样需要我们之前记录的信息;
9) CA名称确认是否和旧CA一致;
10) 在此处,我们就可以修改CA根证书的有效期限了,比如可以设置为50年;
11) 证书数据库选择和旧CA一致,这里也需要我们先前调研步骤的记录,确认安装信息后点击安装;
12) 安装完成后将旧CA的备份还原;
13) 在客户端查看颁发的CA根证书,可发现证书的有效期限已经更改为50年,如果未成功,重启客户端机器即可;
【总结】
通过以上操作步骤,我们完成了通过CA的重装来更改根证书的期限,并且基本对客户端不产生任何影响,除非在重装的过程中客户端有申请或续订证书的请求。重装之后旧CA颁发的证书同样可以向新CA续订成功,并且我们可以创建期限更长证书模板。
联系客服