使用CAPolicy.inf來安裝CA

在 Windows安裝憑證授權單位(CA)時, CAPolicy.inf是一個可選但非常重要的設定檔案, 用來在安裝 Root CA或 Subordinate CA前定義其原則與設定, 這個檔案會影響 CA憑證的欄位、有效期限、憑證原則等資訊, 但是它不等同於 CA安裝程式, 所以如果沒有使用 CAPolicy.inf檔案, 在新增角色與功能安裝 ADCS時只會使用預設值設定, 詳細的內容還須之後設定, CAPolicy.inf的檔案內容可至微軟官方文件網頁查詢

1. 建立 CAPolicy.inf的用途

。設定 CA憑證有效期限

。設定憑證原則

。設定 CRL和 AIA的位置

。控制 CA憑證中是否包含 CDP/AIA

。設定是否允許使用者憑證、電腦憑證等用途

。CAPolicy.inf只在初次安裝 CA或更新憑證時生效

w-studio.idv.tw

2. 安裝 CA前的步驟

。建立 CAPolicy.inf檔案:

使用記事本編輯並儲存為 CAPolicy.inf, 存放至 C:\Windows

。打開伺服器管理員:

新增角色與功能 → 安裝「憑證授權單位(ADCS)」

。進行 CA安裝精靈:

--選擇 CA類型(Root CA或 Subordinate CA)

--選擇憑證密鑰長度與金鑰選項

--此時安裝程式會自動偵測並讀取 CAPolicy.inf, 其設定會應用至產出的 CA憑證

。完成安裝後確認 CA憑證內容

可透過 certsrv.msc→CA憑證內容→查看是否有套用 policy OID、Validity 等資訊