更新时间:2025-11-11 GMT+08:00
证书配置
操作场景
成功创建CA证书后,您可以对该证书进行生命周期的管理,如执行导出证书、启用或禁用等操作。
导出CA证书
- 登录管理控制台。
- 在导航中依次选择“租户配置 > 证书配置”,进入证书配置页面。
- 在证书配置列表操作列下单击“导出证书”或单击证书名称,在“CA证书”页签下单击“导出为文件”。
- 根据提示保存导出的证书。
导出CRL文件
- 登录管理控制台。
- 在导航中依次选择“租户配置 > 证书配置”,进入证书配置页面。
- 在证书配置列表选择待导出CRL配置的证书名称,弹出证书基本信息窗口。
- 在“CRL配置”页签下单击“下载”按钮,根据提示保存下载的CRL文件。
禁用CA证书
- 登录管理控制台。
- 在导航中依次选择“租户配置 > 证书配置”,进入“证书配置”页面。
- 在证书配置列表操作列下单击“禁用”,弹出“禁用证书”窗口。
- 如果您确定要禁用,请输入“YES”,单击“一键输入”可以快速输入。
- 单击“确定”
删除证书
- 登录管理控制台。
- 在导航中依次选择“租户配置 > 证书配置”,进入“证书配置”页面。
- 在证书配置列表操作列下单击“删除”,弹出“删除证书”窗口。
- 如果您确定要禁用,请输入“DELETE”,单击“一键输入”可以快速输入。
- 单击“确定”
仅支持删除状态为“已禁用”或“已过期”的证书。
更换CA证书
- 登录管理控制台。
- 在导航中依次选择“租户配置 > 基础配置”,进入“基础配置”页面。
- 在基础配置下单击“修改”,弹出“修改域”页面。
- 在私有CA证书下拉框选择所需的证书。
- 单击“确定”。
启用CA证书
- 登录管理控制台。
- 在导航中依次选择“租户配置 > 证书配置”,进入“证书配置”页面。
- 在证书配置列表选择已“禁用的”证书,在操作列下单击“启用”,弹出“启用证书”窗口。
- 如果您确定要启用,请输入“YES”,单击“一键输入”可以快速输入。
- 单击“确定”
导入根CA/子CA及CRL文件至AD服务器
私有根CA证书或子CA证书及CRL配置文件,需要发布至所有AD CS受信任的根证书颁发机构和企业NTAuth存储中。
- 请根据已创建的CA类型,将其对应的根CA或子CA证书,以及CRL文件导入AD服务器。
- 在对接多域场景下,若某个域启用了基于证书的身份验证,则必须将对应的CA证书与CRL导入到该域的AD服务器中。
- 证书吊销状态的校验,仅支持通过CRL(证书吊销列表)的方式进行。
- 使用账号密码登录至AD服务器中。
- 参见导出CA证书和导出CRL文件章节,导出根CA或子CA证书及CRL配置,并拷贝至AD服务器中。
- 按“win + r”,在弹出的运行对话框中输入“cmd”,按“Enter”,打开命令行窗口。
- 进入根CA证书目录,执行如下命令。
示例:cd D:\Users\file(file目录为根CA证书所在目录)
- 在命令行窗口输入命令导入根CA或子CA证书,执行如下命令。
- CA类型选择根CA:
- 添加至企业NTAuth存储,执行如下命令。
certutil -enterprise -addstore NTAuth rootca.cer
- 添加至受信任的根证书颁发机构,执行如下命令。
certutil -addstore root rootca.cer
- 添加吊销列表至AD服务器
certutil -addstore root rootca.crl
“rootca.cer”和“rootca.crl”请根据在管理控制台上导出的CA证书和CRL文件名进行替换。
如果有多台AD服务器,请重复以上操作,或通过配置组策略同步至各个AD服务器中,参考如下步骤:
- 查看证书的“指纹”字段的值:请双击创建CA证书章节下创建的根CA证书或子CA证书及CRL文件,在“详细信息”页签中查看“指纹”字段。不同文件的指纹值不同,如下图所示。
- 域控组策略的默认更新周期为5分钟,配置完成后将在此周期内自动同步至所有域控服务器。
- 在1的AD服务器左下角的任务栏,单击
。 - 在弹出的“开始”菜单右侧,单击打开“服务器管理器”。
- 在“服务器管理器”页面右上方依次单击“工具 > 组策略管理”。
- 在“组策略管理”页面,依次单击“林 > 域 > 组策略对象 ”。
- 右键单击“Default Domain Controllers Policy”,选择编辑。
- 在“组策略管理编辑器”页面依次进入“计算机配置 > 首选项 > Windows设置 > 注册表”。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates\”
- 单击rootca.cer证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 单击“确定”。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\”
- 单击rootca.cer证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\CRLs\”
- 单击rootca.crl证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- CA类型选择子CA:
- 添加至企业NTAuth存储,执行如下命令。
certutil -enterprise -addstore NTAuth subca.cer
- 添加至受信任的根证书颁发机构,执行如下命令。
- (可选)添加根CA的吊销列表至AD服务器。
certutil -addstore root rootca.crl
若根CA的CRL有效期足够长,建议将CRL导入至AD服务器(执行如上命令),过期前需要再次导入;否则,应确保您的AD域服务器能够访问该根CA的CRL。
- 添加到中间证书颁发机构,执行如下命令。
- 添加子CA的吊销列表到AD服务器。
如果有多台AD服务器,请重复以上操作,或通过配置组策略同步至各个AD服务器中,参考如下步骤:
- 查看证书的“指纹”字段的值:双击创建CA证书章节下创建的根CA证书或子CA证书,选择“详细信息”页签,下拉查看指纹密钥串,如下图所示。
- 域控组策略的默认更新周期为5分钟,配置完成后将在此周期内自动同步至所有域控服务器。
- 在1的AD服务器左下角的任务栏,单击
。 - 在弹出的“开始”菜单右侧,单击打开“服务器管理器”。
- 在“服务器管理器”页面右上方依次单击“工具 > 组策略管理”。
- 在“组策略管理”页面,依次单击“林 > 域 > 组策略对象 ”。
- 右键单击“Default Domain Controllers Policy”,选择编辑。
- 在“组策略管理编辑器”页面依次进入“计算机配置 > 首选项 > Windows设置 > 注册表”。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates\”
- 单击subca.cer证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 单击“确定”。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\”
- 单击rootca.cer证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA\Certificates\”
- 单击subca.cer证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\CA\CRLs\”
- 单击subca.cer证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 右键单击“注册表”,依次选择“新建 > 注册表项”。
- 在“新建注册表属性”页面选择注册表路径,路径为“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\CRLs\”
- 单击rootca.crl证书指纹字段的值,选中“Blob”,单击“选择”,如下图所示。
- 添加至企业NTAuth存储,执行如下命令。
父主题: 租户配置
