如何吊销和替换颁发 CA 证书

更新日期： 2004年04月06日

目标

使用本模块可以实现：

•	吊销颁发 CA 证书。
•	替换颁发 CA 证书。

本模块适用于下列产品和技术：

•	Microsoft® Windows® Server™ 2003
•	Microsoft 证书服务
•	Microsoft Active Directory® 目录服务

本模块描述了吊销和替换颁发 CA 证书所需的步骤。可以将本模块中的指导用于现有公钥基础结构 (PKI)。

为了充分理解本模块内容，请首先阅读“Microsoft 安全无线局域网解决方案构建指南”中的模块实施公钥基础结构。这将使您更好地理解 PKI 的构建。

本模块描述了管理 PKI（作为安全无线 LAN (WLAN) 解决方案的一部分实现）所需的操作过程。

本任务包括颁发 CA 证书的吊销和替换。如果 CA 的私钥以某种方式泄漏（或怀疑泄漏），则应该吊销 CA 证书，并颁发使用新密钥对的新 CA 证书。

因为根 CA 的 CRL 发布期很长，只是吊销 CA 证书并发布新的 CRL 会导致在吊销和证书用户收到吊销通知之间存在很长时间的延迟。为了确保泄漏的 CA 所颁发的所有证书都尽可能快地被拒绝，还应单独吊销该 CA 颁发的所有证书。

要点：所有证书用户都必须重新注册新证书。

•

吊销颁发 CA 证书

1.	以 Certificate Managers 组成员的身份登录颁发 CA，然后打开证书颁发机构管理控制台。
2.	选择“颁发的证书”文件夹中的所有证书，然后在“所有任务”菜单中单击“吊销证书”。选择“CA 泄漏”作为原因代码。
3.	加大 CRL 发行间隔以便与 CA 证书的剩余寿命相匹配。这可以确保它绝对长于该 CA 已颁发的所有证书的剩余寿命。
4.	如果已经选择了“发布增量 CRL”复选框，请清除它。
5.	在“吊销的证书”文件夹的“所有任务”菜单中，单击“发布”，然后单击“新的 CRL”。
6.	以 Certificate Managers 组成员的身份登录到根 CA，然后打开证书颁发机构管理控制台。
7.	在“颁发的证书”文件夹中找到要吊销的 CA 证书，然后在“所有任务”菜单上单击“吊销证书”。选择“密钥泄漏”作为原因代码。
8.	遵循如何发布脱机 CRL 和 CA 证书中描述的过程进行操作（可以忽略该过程中的 CA 证书发布部分）。
9.	返回到颁发 CA，然后遵循如何使用同一密钥续订颁发 CA 证书中描述的过程进行操作。

证书用户现在可以使用新的 CA 重新注册。自动注册证书应该进行自动注册。