我有一个离线的根,并试图使用EKU限制它,所以它没有所有的应用程序策略。
其中大部分是试验和错误,我希望这样做更高效,而不是卸载重新安装subCA只是为了获得一个新的证书,以获得由根签名。
我怎样才能(使用命令行)重新安装CA,以便它将正确地生成一个新的请求文件(由根CA处理),并适当地阅读CaPolicy.inf和Policy.inf ?
安装CA
注意这是一行,CRLF应该被删除
Install-AdcsCertificationAuthority -Force -CAType "EnterpriseSubordinateCA" -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -HashAlgorithmName "SHA1" -KeyLength "2048" -CADistinguishedNameSuffix "DC=FreeSMIME,DC=com" -CACommonName "Signing Policy1" -OutputCertRequestFile "C:\SMIMEPOL01.ad.FreeSMIME.com_ad-SMIMEPOL01-CA-1.req" -DatabaseDirectory "C:\Windows\system32\CertLog" -LogDirectory "C:\Windows\system32\CertLog"
删除CA
Uninstall-AdcsCertificationAuthority -Force
来源: Microsoft-Windows-CertificateServices-Deployment/Operational的事件日志