1.启动 Internet Explorer。

　　2.打开 http://localhost/certsrv URL。

　　3.在“欢迎”页上，单击“查看挂起的证书申请状态”链接。

　　4.在“查看挂起的证书申请状态”页上，单击“保存的申请证书”(日期和时间)链接。

　　5.在“证书已颁发”页上，单击“下载证书链”链接。

　　6.在“文件下载”对话框中，单击“保存”。

　　7.在“另存为”对话框的“文件名”框中，键入“a:\certnew.p7b”，然后单击“保存”，将 PKCS#7 文件保存到磁盘。

　　8.如果出现“下载完成”对话框，请单击“关闭”。

　　9.关闭 Internet Explorer。

　　在企业从属 CA 中安装证书

　　现在，必须使用下列步骤在企业从属 CA 中安装 PKCS#7 文件：

　　1.将包含 PKCS#7 文件的磁盘插入磁盘驱动器。

　　2.在“开始”菜单上，指向“程序”，指向“管理工具”，然后单击“证书颁发机构”。

　　3.在控制台树中，右键单击“CAName”(这里 CAName 是企业从属 CA 的名称)，指向“所有任务”，然后单击“安装 CA 证书”。

　　4.在“选择要完成 CA 安装的文件”对话框的“文件名”框中，键入“a:\certnew.p7b”，然后单击“打开”。

　　5.在控制台树中，右键单击“CAName”，导向“所有任务”，然后单击“启动服务”。

　　注意： 如果无法从网络直接访问 CRL，则还可能需要手动安装脱机根 CA 的 CRL。您可以使用 certutil.exe –addstore 命令加载 CRL 文件。

　　续订现有的企业从属 CA

　　1.确保经修改的 CAPolicy.inf 文件在 %SystemRoot% 文件夹中。

　　这可确保应用新定义的约束或保持现有策略约束。

　　2.在“开始”菜单上，指向“程序”，指向“管理工具”，然后单击“证书颁发机构”。

　　3.在控制台树中，右键单击“CAName”，然后单击“续订 CA 证书”。

　　4.在“安装 CA 证书”对话框中，单击“是”停止“证书服务”。

　　注意： 除定义约束外，在 CAPolicy.inf 文件中定义的密钥大小、密钥寿命、CDP 位置、AIA 位置及其他设置均可在证书续订中重新定义。