如何续订根 CA 证书

以本地 Administrators 组成员的身份登录到根 CA 上。

如果要更改密钥大小，需要编辑存储在 %systemroot% 目录下的 CAPolicy.inf 文件。将 RenewalKeyLength 的值更改为所需大小（位）。在下面的示例中，此值为 8,192。

[Certsrv_Server]
RenewalKeyLength=8192

警告：

上面显示的密钥大小为 8,192 位，这只是为了说明如何更改密钥大小。使用此密钥大小时要尤其小心。虽然证书服务最高支持 16,384 位的密钥大小，但有些应用程序和系统对根 CA 证书链中的任何证书都不支持大于 2,048 位的密钥大小。

如果要更改 CA 证书的有效期限或证书策略，必须在在开始此过程之前，在 CAPolicy.inf 文件（位于 %systemroot%）中进行指定。

打开证书颁发机构管理控制台，在 CA 对象的“任务”菜单中单击“续订 CA 证书”。证书服务警告您必须先停止 CA 才可以进行此操作。

选择新密钥选项。此时将重新启动证书服务。

从 CA 属性中查看证书，并验证最新 CA 证书的“有效期自”日期为当前日期。

使用以下脚本命令颁发 CRL，并将该 CRL 和新的 CA 证书复制到磁盘上：

Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf

将该磁盘插入颁发 CA 中。（严格来讲，该服务器只需是安装了随此解决方案提供的 certutil.exe 和脚本的域成员—而不必是颁发 CA。）

以 Enterprise PKI Admins 组成员的身份登录，然后运行下列脚本：

Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf

注意：尽管您不必同时执行此操作，但同时续订所有从属 CA 却是一个好主意。有关详细信息，请参阅如何续订颁发 CA 的证书。

备份根 CA 的证书和密钥。（请参阅如何备份 CA 密钥和证书。）

备份根 CA 的证书数据库和系统状态。（请参阅如何配置根 CA 数据库备份。）