增長ActiveDirectory證書服務器有效期與續訂步驟

日常咱們安裝的AD證書服務器默認通常是5年，若是到期以後如何續訂？若是想要把CA根證書的有效期增長到10年、20年、50年怎麼辦？
下面一塊兒來看下如何操做吧。
首先咱們須要備份一下現有環境的CA，打開「證書頒發機構」，點擊「全部任務」-「備份CA」

點擊下一步!

勾選「私鑰和CA證書」，「證書數據庫和證書數據庫日誌」，選擇備份路徑，下一步

輸入一個密碼，下一步

備份完成

如今咱們想增長CA根證書的有效期，先看下現有的CA根證書的有效期，點擊屬性

能夠看到如今只有一個證書#0，有效期是10年

下面開始增長CA根證書有效期，增長到50年，在%SYSTEMROOT%目錄下建立一個叫CAPpolicy.inf的文件，內容以下：
[Version]
Signature=」$Windows NT$」

[certsrv_server]
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=50

運行如下命令設置證書最大有效期。
certutil -setreg CA\ValidityPeriodUnits 50
certutil -setreg CA\ValidityPeriod "Years"

重啓certsvc服務

能夠到如下注冊表下查看ValidityPeriodUnits是否已經更改。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname>
開始續訂證書，點擊「全部任務」-「續訂CA證書」

續訂過程須要中止證書服務，點擊是

若是你須要生成一個新的公鑰和私鑰對，則選擇是，這裏我選擇否，讓程序還使用舊的祕鑰

續訂完成，咱們查看證書屬性，發現多了一個證書#1，有效期已經變爲50年