安装企业从属 CA

　　企业从属 CA 必须与为 CA 证书定义的颁发策略一起安装。下列过程描述了企业从属 CA 的安装。

　　配置 CAPolicy.inf 文件

　　企业从属 CA 要求在 %systemroot% 文件夹中创建并安装 CAPolicy.inf 文件，以应用正确的策略。如果企业 CA 已经存在，则可以仍使用 CAPolicy.inf，并续订 CA 证书以应用经过修改的设置。CAPolicy.inf 文件必须包含以下部分：

　　

[RequestAttributes] 　　CertificateTemplate = SubCA 　　[PolicyStatementExtension] 　　Policies = HighAssurancePolicy, MediumAssurancePolicy, LowAssurancePolicy 　　CRITICAL = FALSE 　　[HighAssurancePolicy] 　　OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.402 　　[MediumAssurancePolicy] 　　OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.401 　　[LowAssurancePolicy] 　　OID = 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1.400

　　注意：必须修改确定性策略的 OIDS，以为已存在企业从属 CA 的林匹配 OIDS。每个林都将生成一个唯一的 OID，用于高、中和低确定性的颁发策略。在此示例中，每个 OID 的唯一组件是 1.3.6.1.4.1.311.21.8.2473717464.1095930238.502626717.506190032.1，您必须更改本示例中显示的 OID，以匹配表示林的唯一 OID。

　　修改 CAPolicy.inf 文件

　　1.将已修改的 CaPolicy.inf 文件复制到 %systemroot% 文件夹。

　　2.用记事本打开 CaPolicy.inf 文件。

　　3.单击“开始”，然后单击“运行”。在“打开”框中，键入“certtmpl.msc”。

　　4.在控制台树中，右键单击“证书模板”，然后单击“查看对象标识符”。

　　5.在“查看对象标识符”对话框中，选择“高确定性”，然后单击“复制对象标识符”。

　　6.将更新的“高确定性”对象标识符粘贴到 CaPolicy.inf 文件中。

　　7.在“查看对象标识符”对话框中，选择“中确定性”，然后单击“复制对象标识符”。

　　8.将更新的“中确定性”对象标识符粘贴到 CaPolicy.inf 文件中。

　　9.在“查看对象标识符”对话框中，选择“低确定性”，然后单击“复制对象标识符”。

　　10.将更新的“低确定性”对象标识符粘贴到 CaPolicy.inf 文件中。

　　11.在“查看对象标识符”中，单击“关闭”。

　　12.关闭“证书模板”控制台。