如何使用 Microsoft 证书服务器创建从属 CA 证书

概述

本文档演示如何使用 Microsoft 证书服务器创建从属 CA 证书。

• 通过浏览 http:///<ip-address of="" cert="" server="">certsrv</ip-address> 访问证书服务器接口。
• 在 "欢迎" 屏幕上, 选择 "请求证书"。
  
  
  
• 在下一页上, 选择提交高级证书申请。
  
  
  
• 然后选择创建并向 CA 提交请求。
  
  在下一个窗体上, 确保从 "模板" 下拉菜单中选择 "从属证书颁发机构"。填写证书的任何信息 (姓名、联系信息等)。提交请求后, 将显示一个链接, 将证书下载到本地系统。

• 下载后, 将 certificatefrom 导出到本地证书存储区。  在 "Internet 选项" 对话框中, 选择 "内容" 选项卡, 然后单击 "证书"。现在可以从个人证书存储中导出新证书。单击 "导出" 以显示 "证书导出向导"。
  
• 在 "导出向导" 中, 选择导出私钥, 然后选择该格式。为生成的文件提供密码和文件名/位置。
  

Microsoft 证书服务器可能会以 PFX 格式 (PKCS #12) 提供证书。

要获得 certificateinto 的 PEM 格式, 请按照下列步骤操作:

• 使用 openSSL, 输入openSSL pkcs12 在 pfxfilename. pfx –out tempfile. pem
• 打开 tempfile pemin 文本编辑器。
• 请注意从-----开始 RSA 私钥开始的部分-----
• 选择-----结束 RSA 私钥-----之后的所有文本, 并将其放入一个具有. KEY 扩展名的新文件中。
• 复制. pem 文件中的其余文本, 并将其粘贴到具有. crt 扩展名的另一个文件中。
• 密钥文件和证书文件现在可以导入了。

CLI 命令 

由于某些客户的根 CA 没有 webinterface, 因此可以通过cli 接口使用相同的操作.
在 Microsoft CA 上, 该命令将是:

certreq-提交-attrib "CertificateTemplate: SubCA" <certificate-signing-request>. 企业社会责任</certificate-signing-request>

在本命令中, 您将得到一个 gui 提示, 您可以在其中选择要对请求签名的 CA。在正常情况下, 同一服务器上只会有一个根 CA, 因此您可以选择所显示的一个。之后, 您将在 CA 服务器的挂起请求界面中找到您的请求。

所有者︰ panagent