在RootCA上安装独立根CA

域环境下安装子CA

选择CA申请文件保存路径

用记事本打开申请文件

高级证书申请

RootCA颁发证书

下载申请好的证书两种格式都下载

给子CA安装证书

CA故障:由于吊销服务器已脱机 ，吊销功能无法检查吊销

由于吊销服务器已脱机 ，吊销功能无法检查吊销。

吊销服务尝试启动，错误为RPC服务器未响应。

CMD运行：

certutil.exe -setreg CA\LogLevel 2

提示旧值

LogLevel REG_DWORD = 3

新值

LogLevel REG_DWORD = 2

完成之后CA正常启动。该CA为独立CA，从企业CA获取信息发布证书。

Net start certsrv 启用证书服务

Net stop certsrv 停用证书服务

Net pause certsrv 暂停证书服务

通过组策略信任证书颁发机构

刷新组策略 gpupdate /force

申请邮箱制定邮箱属性

申请用户证书

申请证书失败检测吊销服务器

当使用Windows Server 2008安装CA服务器，选择"独立从属CA"完成安装步骤后，无法启动证书服务，提示"由于吊销服务器已脱机 ，吊销功能无法检查吊销"错误。

解决方法是在CMD命令行下输入命令不验证吊销服务器(注意要在从属CA服务器停止时输入)：

certutil.exe -setreg ca\CRLFLags +CRLF_REVCHECK_IGNORE_OFFLINE (不检测)

执行之后再次启动从属CA服务器，成功。测试之后颁发、吊销、撤销吊销功能一切正常。

如果要再次开启验证吊销服务器，可以将+变成-：

certutil.exe -setreg ca\CRLFLags -CRLF_REVCHECK_IGNORE_OFFLINE （检测）

为邮箱配置证书进行签名和加密

导出用户数字证书

一并导出私钥

设置密码，恢复证书要用的

默认情况下，在安装 CA 的服务器上将在下列位置发布 CRL 和增量 CRL：

Systemroot\system32\CertSrv\CertEnroll\

如果 Active Directory 目录服务可用，它们也发布到 Active Directory。

使用命令行

打开 命令提示符。

键入：

certutil -crl

配置企业CA允许所有经过身份验证的用户自动申请证书 配置组策略为域用户自动颁发证书。

域环境配置EFS故障代理

导出代理**