【原理】

重装CA是将证书颁发机构角色删除后，在同一台CA服务器使用原有的密钥重新添加角色，保证除有效期之外的所有配置和数据库都和原CA一致，这样重装之后的CA在客户端看来是没有变化的，同样可以申请证书，续订旧CA颁发的证书，也可以创建更长期限的证书模板申请有效期更长的证书。

【操作步骤】

本文档实现的环境为Windows Server 2008 R2的域环境下的企业根CA。

1.    调研现有CA根证书类型：

此步骤目的是保证重装后的CA配置和原有的一致，以免造成冲突。需要了解现有CA的加密服务提供程序（CSP）的程序和哈希算法，还有证书数据库的存储位置，因为这些内容在重装的时候需要配置。

1） 选中根CA名称，右键选择“属性”，打开根CA属性；

2） 在“常规”选项卡，记录“加密设置”下的“提供程序”和“哈希算法”；

3） 选择“查看证书”，在“详细信息”中找到“公钥”，记录是2048位的RSA，还是1024位的DSA；

4） 在“存储选项卡”记录证书数据库和申请日志的路径；

2.    备份CA

备份CA的目的首先是为安全起见，同时，在重装CA后，在CA管理控制台的颁发证书列表会清空，需要将备份的还原。

1） 选中CA根证书，右击>所有任务>备份CA；

2） 选择要备份的项目和路径，勾选“私钥和CA证书”，“证书数据库和证书数据库日志”；

3.    卸载CA

1） 打开“服务器管理器”，点击“删除角色”；

2） 去掉“AD证书服务”的勾选项，按照提示操作直至删除角色；

3） 删除成功后最好重启服务器；

4.    重装CA

1） 在“服务器管理器”点击“添加角色”；

2） 勾选“AD证书服务”；

3） 勾选“证书颁发机构web注册”

4） 在“安装类型”和“CA类型”分别选择“企业”和“根CA”

5） 在“私钥”，选择“选择现有私钥”下的“选择此计算机上的现有私钥”

6） 此时，在“选择您要用于此CA的密钥”处会有一个和旧CA根证书名字一样的密钥，选中点下一步即可

7） 如果没有出现，则可以点击“编辑”按钮，在编辑搜索条件，这里就需要我们在第1步中调研CA的证书类型记录，将CSP（加密服务提供程序）和CA公用名改为和旧CA一致，点击搜索即可；

8） 选择和旧CA一样的加密方式，这里同样需要我们之前记录的信息；

9） CA名称确认是否和旧CA一致；

10）         在此处，我们就可以修改CA根证书的有效期限了，比如可以设置为50年；

11）         证书数据库选择和旧CA一致，这里也需要我们先前调研步骤的记录，确认安装信息后点击安装；

12）         安装完成后将旧CA的备份还原；

13）         在客户端查看颁发的CA根证书，可发现证书的有效期限已经更改为50年，如果未成功，重启客户端机器即可；

【总结】

通过以上操作步骤，我们完成了通过CA的重装来更改根证书的期限，并且基本对客户端不产生任何影响，除非在重装的过程中客户端有申请或续订证书的请求。重装之后旧CA颁发的证书同样可以向新CA续订成功，并且我们可以创建期限更长证书模板。