Предположим, что истекает срок действия Root CA на Windows Server PKI. Для продления можно воспользоваться как консолью, так и GUI.
Через консоль:
- Заходим на CA-сервер
- В командной строке вводим
certutil -renewCert ReuseKeys - Перезапускаем сервис CA. Проще это сделать через Powershell:
Restart-CertificationAuthority
Важно понимать, что происходит при таком сценарии. При выполнении такой команды публичный и приватный ключи не обновляются, что может быть хорошо в случае, если есть проблемы с распространение доверенных корневых сертификатов по сети на клиенты. Также, следует учесть, что это самый простой сценарий, когда у вас Root CA и Issuing CA находятся на одном сервере.
В более сложном случае необходимо экспортировать полученный сертификат и установить на Issuing CA вручную.
В случае, если делаете это через MMC оснастку, то необходимый пункт находится в контекстном меню правой кнопкой мыши на имени ЦС -> All Tasks > Renew CA Certificate.
В этом случае мастер сначала генерируется запрос на сертификат (request), а затем его надо утвердить для выписки сертификата.