标签：证书   续订   

本着应用隔离的原则，建议把证书服务部署在一台独立的windows server 2012 r2虚拟机之中。证书服务器可以不用考虑高可用，因证书服务宕掉后，除了不能继续颁发证书和不能访问证书吊销信息，并不影响证书的其他验证。

证书服务的安装

证书服务的安装很简单，运行服务器管理器，添加角色与功能，选择”Active Directory证书服务“，

在角色服务中选择”证书颁发机构“与”证书颁发机构WEB注册” （不是证书注册web服务）两项，证书颁发机构WEB注册也就是传统的<ca-ip>/certsrv注册方式，虽然大多数情况下可以不用此方式申请证书，但在某些特殊情况还是会用到（比如某些非微软的第三方应用），所以请安装上。

其他步骤选择默认。

安装后的配置

安装完成后，在服务器管理器的右上角会有一个***的三角图标，点击它，

选择要配置的角色服务，就选择安装的两项。

选择企业CA，

选择根CA，对于一般企业来说，就一台根CA足矣，不用搞得太复杂。

在接下来的选项中选择创建新的私钥，加密选项默认，密钥长度至少2048位，其他选项默认。

高级配置

虽然在上面的安装完成后，基本的证书服务就可以用了，但在生产环境中，还建议进行以下配置：

修改服务器级别颁发的证书有效期，如改为10年

创建一个自定义的企业用的证书模板（计算机类）

调整CRL发布期，尽量长（如果安全性要求高，则要调短）

配置HTTP方式访问CRL和AIA，并且内外可访问

创建EFS恢复代理

关于证书续订

修改服务器级别颁发的证书有效期

默认情况下，证书的有效期只有两年，即使你证书模板配置了大于两年也没用，需要在证书服务器上修改下面这个总开关：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<caname>下面的"ValidityPeriodUnits"，默认为2，修改成需要的年限，修改后要重启证书服务。

在企业环境中，如果不修改这里，每两年都去续订或更新证书也是件麻烦事（比如邮件系统用的证书），对于安全合规要求不是很高的环境可以调高这里的年限。

创建一个自定义的企业用的证书模板（计算机类）

默认情况下，用户能从MMC中申请“计算机”类型的证书，但此证书所有参数固定，不能添加自定义的域名（CN和SAN），且不能导出私钥，不适合生产环境，需要新建一个适合生产的模板，以便自动申请相关证书，步骤如下：

运行mmc，添加证书模板，然后选中计算机模板，再选复制模板，就会基于计算机模板复制出一个新模板，我们可以基于此模板定义出适合自己的模板，计算机模板既适合服务器身份验证，也适合客户端身份验证，这点与WEB服务器模板有所不同，WEB服务器只适合服务器身份验证，不同用途的模板适合不同的场景，在Exchange和LYNC的部署中，通常只要是计算机类型的证书即可（比如你申请一个用户类型的证书是没有用的）。

然后在复制模板的兼容性标签选默认设置（如果不是选windows server 2003兼容设置，比如更高版本，则不能通过web方式申请），