У меня есть автономный корень, и я пытаюсь ограничить его с помощью EKU, чтобы у него не были все политики приложений.
По большей части это метод проб и ошибок, и я хотел бы сделать это более эффективным, а не удалять и переустанавливать subCA только для того, чтобы получить новый сертификат для подписи корнем.
Как я могу (с помощью командной строки) переустановить CA, чтобы он правильно сгенерировал новый файл запроса (для обработки корневым CA) и прочитал CaPolicy.inf и Policy.inf соответственно?
Установите CA
Обратите внимание, что это одна строка, и CRLF следует удалить
Install-AdcsCertificationAuthority -Force -CAType "EnterpriseSubordinateCA" -CryptoProviderName "RSA#Microsoft Software Key Storage Provider"
-HashAlgorithmName "SHA1" -KeyLength "2048"
-CADistinguishedNameSuffix "DC=FreeSMIME,DC=com" -CACommonName "Signing Policy1"
-OutputCertRequestFile "C:\SMIMEPOL01.ad.FreeSMIME.com_ad-SMIMEPOL01-CA-1.req"
-DatabaseDirectory "C:\Windows\system32\CertLog"
-LogDirectory "C:\Windows\system32\CertLog"
Удалить CA
Uninstall-AdcsCertificationAuthority -Force
Источник: журнал событий Microsoft-Windows-CertificateServices-Deployment/Operational