原文：http://blog.chinaunix.net/uid-24709751-id-3475924.html

1. Windows CA证书服务器安装完了?  如何得知当初安装时选择的类型?

是独立根呢? 还是企业根?

答:  certutil -cainfo执行即可得知.

2.企业根类型的证书颁发机构,默认申请的证书时效为多长? 如何变更?

答: 企业根类型,默认为2年 (注:相对windows 2008是两年,windows 2003是一年的)

对于企业CA，由于证书模板也定义了基于该模板的证书的有效期，那么证书的有效期最终为下列时间中的最短者： a. 注册表中定义的有效期 b. 证书模板定义的有效期 c. CA 根证书的终止日期（如果CA根证书过期了，那么所有的由该CA颁发的证书也自动过期） 所有如果要想把企业CA颁发的证书有效期变根，除了修改上面的注册表键值，必须也同时更改证书模板的有效期。 但是请注意只有version 2 的证书模板才能被修改，version 1 的证书模板是固定的。  如果企业CA是安装在Windows Server 2008 Standard 版本，CA只能颁发基于version 1 模板的证书, 所以是没办法改的。 只有企业CA安装在Windows Server 2008 Enterprise版本，我们才能颁发基于version 2 模板的证书。复制出来的证书模板都是version 2的模板，可以更改其有效期。 默认证书模板的有效期可以这样查看： a. 打开证书颁发机构MMC b. 右键点击证书模板然后选择管理 c. 可以双击每个模板来查看其有效期 可以看到对于默认的version 1的模板，属性都是灰色的不能更改。只有复制出version 2的模板，有效期才能更改。 但只有企业CA安装在Windows Server 2008 Enterprise版本上才能颁发基于version 2的模板的证书。

 复制模板后，要修改“安全”

修改“密钥大小”

3.独立根类型的证书颁发机构,默认申请的证书时效为多长? 如何变更?

答: 1年

对于独立CA，因为不存在证书模板，证书有效期只由下面的注册表键值决定： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\ ValidityPeriod = Years ValidityPeriodUnits = 4

可以参考:http://support.microsoft.com/kb/254632/zh-cn

4.证书的续订:

续订CA跟证书步骤如下： a. 从管理工具打开Certification Authority (证书颁发机构) b. 右击计算机名称 –》 所有任务 –》 续订CA证书 续订根证书颁发机构 http://technet.microsoft.com/zh-cn/library/cc780374(WS.10).aspx 

5.证书服务器的备份

如何将证书颁发机构移动到其他服务器 http://support.microsoft.com/kb/298138/zh-cn

我建议将原来的企业根证书服务器相关的信息清理掉。我们可以使用Certutil.exe 来清理相关的信息。在域控上运行下面的命令： certutil -dsdel CA Name 例如，如果原来CA的名字叫做Enterprise Root CA, 命令就如下： certutil -dsdel "Enterprise Root CA" 注意：如果 CA 名称包含空格，则名称必须用引号括起来。