步驟 1: 如何使用您自己的 CA 發行新的憑證

您發出全新子授權單位憑證所採取的特定動作取決於您的環境。

選項 A:如果可透過網路存取您的 CA

  1. 關閉 Security Controls
  2. 使用本機系統設施從 CA 頒發新憑證。
    確定憑證符合所有要求
  3. 將新的憑證儲存於控制台電腦的中繼憑證授權單位憑證存放區。
  4. 在控制台上,開啟管理員命令提示字元視窗,並切換到 Security Controls 安裝目錄。
    預設安裝目錄是: C:\Program Files\Ivanti\Security Controls
  5. 使用 STMgmt 指令行工具,發出 select_subauthority -thumbprint <thumbprint> 指令指定新的憑證應該做為子授權單位憑證。

    6. 範例: stmgmt.exe -select_subauthority -thumbprint 3e656d7ca744c131c2daba3e4fb4e8731784824e

    務必包含 -thumbprint 引數,這是向 Security Controls 表示應該使用憑證做為子授權單位憑證。 取得指紋的其中一個方法是:

    1. 將新憑證中的指紋複製到記事本等應用程式中。
    2. 移除所有空格和特殊字元。
    3. 以 ANSI 編碼的格式儲存檔案。
    4. 將記事本檔案中的指紋字元貼到 select_subauthority 命令中。

    如需使用 STMgmt 的資訊,請從控制台電腦的管理員指令提示字元輸入下列一行:

    C:\Program Files\Ivanti\Security Controls>stmgmt

  6. 如需您是否需要等待 30 天才能提交新憑證的相關資訊,請參閱讓憑證作用於整個系統

選項 B:如果無法透過網路存取您的 CA (CA 已離線或在中斷連線的網路中)

  1. 在控制台上,開啟管理員命令提示字元視窗,並前往 Security Controls 安裝目錄。
    預設安裝目錄是 C:\Program Files\Ivanti\Security Controls
  2. 使用 STMgmt 指令行工具,發出 request_subauthority -of <requestfile> 指令提出子授權單位憑證要求。

    3. 範例: stmgmt.exe -request_subauthority -of samplerequestfilename.req

    這是要求發出新的Security Controls子授權單位憑證。 這會建立 CA 發出憑證所需的全部資訊並儲存為檔案。 此檔案是二進位格式的 PKCS10 憑證要求,將用於在 CA 上產生憑證。 您可能需要將此檔案轉換為 Base64 編碼,具體取決於您的 CA。

  3. 將檔案傳輸到 CA。
  4. 取得 CA 發出全新子授權單位憑證並儲存為檔案。
    確定憑證符合所有要求
  5. 將檔案傳輸到控制台電腦並儲存於本機目錄。
  6. 使用 STMgmt 指令列工具,發出 accept_subauthority -if <issuedcert> 指令。

    7. 範例: stmgmt.exe -accept_subauthority -if sampleresponsefilename.cer

    此指令有一些作用。 其可:

    • 接受信任的 CA 產生的新憑證
    • 將其繫結回控制台上的私密金鑰
    • 指定 Security Controls 應該使用憑證作為子授權憑證
    • 管理新憑證的安裝
  7. 如需您是否需要等候 30 天才能認可為新憑證的資訊,請參閱讓憑證作用於全系統