第 1 步:如何使用您自己的 CA 颁发新证书

发布新的子颁发机构证书时所采取的特定操作将取决于您的环境。

选项 A:如果您的 CA 可通过您的网络进行访问

  1. 关闭 Security Controls
  2. 使用本地系统设施从 CA 颁发新证书。
    确保证书满足所有要求
  3. 将新证书保存到控制台计算机的中间认证颁发机构存储中。
  4. 在控制台上,打开管理员命令提示符窗口并更改为 Security Controls 安装目录。
    默认的安装目录为:C:\Program Files\Ivanti\Security Controls
  5. 使用 STMgmt 命令行工具,发布 select_subauthority -thumbprint <thumbprint> 命令来指定应作为子颁发机构证书的新证书。

    6. 示例:stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

    请务必包括 -thumbprint 参数,它将会向 Security Controls 指明应将该证书作为子颁发机构证书使用。 获取指纹的方法如下:

    1. 将新证书中的指纹复制到记事本等应用程序中。
    2. 删除所有空格和特殊字符。
    3. 以 ANSI 编码格式保存文件。
    4. 将记事本文件中的指纹字符粘贴到 select_subauthority 命令中。

    有关使用 STMgmt 的信息,请在控制台计算机的管理员命令提示符中键入以下信息:

    C:\Program Files\Ivanti\Security Controls>stmgmt

  6. 有关是否需要等待 30 天才能提交新证书的信息,请参阅让证书作用于整个系统

选项 B:如果您的 CA 无法通过您的网络进行访问(CA 处于脱机状态或者断开网络状态)

  1. 在控制台上,打开管理员命令提示符窗口并转到 Security Controls 安装目录。
    默认的安装目录为 C:\Program Files\Ivanti\Security Controls
  2. 使用 STMgmt 命令行工具,发布 request_subauthority -of <requestfile> 命令以创建子颁发机构证书请求。

    3. 示例:stmgmt.exe -request_subauthority -of samplerequestfilename.req

    这是发布新的Security Controls子颁发机构证书的请求。 这将创建 CA 发布证书并将其保存到文件所需的所有信息。 该文件是二进制格式的 PKCS10 证书请求,将用于在 CA 上生成证书。 您可能需要将此文件转换为 Base64 编码,具体取决于您的 CA。

  3. 将文件传输到 CA。
  4. 让 CA 发布新的子颁发机构证书并将其保存到文件中。
    确保证书满足所有要求
  5. 将文件传输到控制台计算机并将其保存在本地目录中。
  6. 使用 STMgmt 命令行工具,发出 accept_subauthority -if <issuedcert> 命令。

    7. 示例:stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

    该命令可执行多种操作。 它可以:

    • 接受从受信任的 CA 中生成的新证书。
    • 将其绑定回控制台上的私钥
    • 指定 Security Controls 应使用证书作为子颁发机构证书
    • 管理新证书的安装
  7. 请参阅让证书作用于整个系统,以了解是否需要等待 30 天再提交新证书的信息。