用Windows Server 2012 R2 搭建二层证书服务结构 Part 2

用Windows Server 2012 R2 搭建二层证书服务结构 Part 2：

4.配置根CA设置
打开证书颁发机构工具：




在吊销的证书位置右键点击属性：




确认此处未选中：




右键点击ContosoRootCA，点击属性：




查看扩展选项卡下面的红圈内容，一会儿我们要修改这个：



以管理员身份打开Windows Powershell运行下面的命令：

certutil -setreg CA\CRLPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%3%8.crl\n2:http://www.contoso.com/pki/%3%8.crl"

certutil –setreg CA\CACertPublicationURLs "2:http://www.contoso.com/pki/%1_%3%4.crt"

Certutil -setreg CA\CRLOverlapPeriodUnits 12

Certutil -setreg CA\CRLOverlapPeriod "Hours"

Certutil -setreg CA\ValidityPeriodUnits 10

Certutil -setreg CA\ValidityPeriod "Years"

certutil -setreg CA\DSConfigDN “CN=Configuration,DC=corp,DC=contoso,DC=com”

restart-service certsvc

certutil -crl

重新打开ContosoRootCA的属性，看到我们添加的内容：




因为我们的RootCA将来是要关机保存的，所以现在将吊销列表等内容考出去：

在C盘根目录下建立一个Cert的文件夹
打开Powershell输入：

copy C:\Windows\system32\certsrv\certenroll\*.cr* C:\Cert\




dir Ｃ:\Cert