描述

本文档将介绍使用本地CA创建签名证书的步骤。

步骤

要使用本地CA创建签名证书，请按照以下步骤操作，

1. 创建签名证书模板
2. 签发签名证书模板
3. 申请签名证书
4. 使用GPO部署证书

在证书颁发机构上创建签名证书模板。

1. 在已安装证书颁发机构的计算机上打开CertificatIon权限。
2. 展开证书颁发机构的名称，然后单击“ 证书模板”。
3. 右键单击“ 证书模板”，然后单击“ 管理”以加载“证书模板”管理控制台。

   

4. 在结果窗格中，右键单击“模板显示名称”列中显示“代码签名”的条目，然后右键单击并选择“复制模板”。 

   

5. 将打开新模板控制台的属性。选择“ 常规”选项卡，输入站点服务器签名证书的模板名称。例如：ThirdPartySigningCertificate。

   

6. 选择“ 请求处理”选项卡，然后启用“ 允许私钥”。

   

7. 选择“ 主题名称”选项卡，然后选择“ 从此Active Directory信息构建”，并选择“ 公用名”作为“主题名称”格

   

8. 选择E xtensions选项卡，确保密钥用法具有数字签名。

   

9. 选择安全选项卡，在组或用户名称选择身份验证的用户，并提供读取和报名权限。

   

10. 选择“加密”选项卡，验证最小密钥大小是否为2048。

    

11. 单击确定，然后关闭证书模板控制台。

签发签名证书模板

1. 在证书颁发机构中，右键单击“ 证书模板”，单击“ 新建”，然后单击“要颁发的证书模板”。

   

2. 在“ 启用证书模板”对话框中，选择刚刚创建的新模板ThirdPartySigningCertificate，然后单击“ 确定”。

   

申请签名证书

1. 在域下的计算机上，在命令提示符下键入mmc.exe，然后按Enter键。 
2. 将打开一个空管理控制台，单击“ 文件”，然后单击“ 添加/删除管理单元”。 
3.  将打开“ 添加或删除管理单元”对话框，从“可用管理单元”列表中选择“ 证书 ”，然后单击“ 添加”。 
4. 在“ 证书管理单元”对话框中，选择“ 我的用户帐户”，然后单击“ 完成”。 
5. 在“ 添加或删除管理单元”  对话框中，单击“ 确定”。 
6. 在控制台中，展开“ 证书 - 当前用户”，展开“ 个人”，然后单击“ 证书” 
7. 右键单击“ 证书”，然后单击“ 所有任务”，再单击“ 申请新证书”。

   

8. 按照证书注册向导选择新创建的证书模板，在证书属性中设置友好名称，然后单击注册。

   

9. 注册成功后，您将在“ 证书 - 当前用户” - >“个人” - >“证书”下找到新证书。 
10. 右键单击刚刚注册的证书，然后单击“ 所有任务” - >“导出”。按照导出向导导出没有私钥的证书，并将导出保存为  SigningCertificate.cer。

    

11. 再次导出证书，这次，在“证书导出向导”中选择“是，导出私钥”，并将导出保存为  SigningCertificate.pfx。 

通过GPO部署签名证书的步骤。

如果此问题仍然存在，请联系支持部门

关键字：  第三方补丁管理，创建签名证书，loca CA.