<!-- ``` ;CAPolicy.inf für VSUBCA01 - in C:\Windows [Version] Signature = "$Windows NT$" [PolicyStatementExtension] Policies = PKI-CENTER-SUBCA01-Statement,AllIssuancePolicy [PKI-CENTER-SUBCA01-Statement] ; SubOID ist für NT Systems bei Microsoft registriert! OID = 1.2.3.4.1055.20.20.2.5.0.15 URL = "http://crl.pki-center.de/certdata/PKI-CENTER-SUBCA01-Statement-CPS.html" URL = "http://crl.pki-center.de/certdata/PKI-CENTER-SUBCA01-Statement-CPS.txt" NOTICE = "PKI Center Certificate Practice Statement, Naehere Informationen siehe Link" [AllIssuancePolicy] OID = 2.5.29.32.0 ; Bei Erneuerung des eigenen Zertifikats [certsrv_server] RenewalKeyLength = 2048 RenewalValidityPeriodUnits = 5 RenewalValidityPeriod = years LoadDefaultTemplates = 0 ``` Folgendes Script unter Desktop\subca.inf speichern. ggf, muss noch das **Subject** angepasst werden. Das Subject kann man zum beispiel bei einem bestehenden Zertifikat auslesen ``` [Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=ede-Sub-CA-01, DC=ede, DC=de" KeySpec = 1 KeyLength = 4096 Exportable = TRUE MachineKeySet = TRUE SMIME = FALSE PrivateKeyArchive = FALSE UserProtected = FALSE UseExistingKeySet = FALSE ProviderName = "Microsoft Software Key Storage Provider" ProviderType = 24 ; Dies ist der ProviderType für den Key Storage Provider RequestType = PKCS10 KeyUsage = 0xa0 [Extensions] 2.5.29.32 = "{text}" _continue_ = "2.5.29.32.0 ; All issuance policies" [PolicyStatementExtension] Policies = AllIssuancePolicy [AllIssuancePolicy] OID = 2.5.29.32.0 ``` Danach CMD als Administrator starten und mit Folgenden Befehlen arbeiten ``` cd Desktop certreq -new subca.inf subca.req ```   Der Erstellte subca.req Request kann nun auf die (PKI01) Offline RootCA Kopiert werden. Dort kann die subca.inf ausgewählt werden.   Unter Pending Rquests kann der Request nun mit einem Rechtklicl- All Tasks- Issue Freigegeben werden.  Unter Issued Certifikates sollte nun das Zertifikat zu sehen sein. Unter General sollte nun auf die All issuance policies vorhanden sein.  --> --------------------------------------------------------- Dieses Script auf der PKI02 (subca) unter C:\Windows\CAPolicy.inf speichern . Das script muss noch massiv angepasst werden. ``` [Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy,AllIssuancePolicy [InternalPolicy] OID=1.2.3.4.1055.20.20.2 Notice="Legal Policy Statement" URL=http://crl.ede.de/cps.txt [AllIssuancePolicy] OID = 2.5.29.32.0 [certsrv_server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10 LoadDefaultTemplates=1 AlternateSignatureAlgorithm=0 ``` Auf der SUBCA PKI02 muss über All Tasks, Renew CA Certificate ein neues Zerstifikat request erstellt werden. **Sollte das über das GUI nicht funktionieren kann mit cmd als Administrator und CertUtil -RenewCert gearbeitet werden.**  Mit Yes bestätigen  Der Schlüssel muss hier NICHT erneuert werden, da wir das rootca nicht angefasst haben. Falls das doch mal der fall werden sollte. Falls die RootCa mal geupdatet werden muss, den Quelltext der seite anzeigen lassen. <!-- (C:\Users\tpali\OneDrive\Dokumente\Root-CA-und-Sub-CA-Zertifikat-erneuern.pdf) Placeholder-->  Unter C:\ wird der neue Zertifikats Requst gespeichert.  Dieser muss nun auf die Offline RootCa PKI01 Kopiert werden. Und anschließen unter certsrv.msc All tasks | Submit new requst... das Zertifikat geladen werden.  Danach kann über die Pending Requests | All Tasks | Issue der Request freigegeben werden.  Unter Issued Certificates sollte nun das Zertifikat vorhanden sein. Hier müssen wir nun in die Einstellungen gehen.  Unter Details Copy to File... muss das Zertifikat Exportiert werden.    Dem Zertifikat einen Namen vergeben, und danach auf der SUBCA PKI02 Speichern. Nun kann über All Tasks | Renew CA Certificate das neue Zertifikat eingespielt werden.