CA证书默认最多只能装一年期吗？

全部回复

• 

  

  0

  登录进行投票

  你好，你说的是安装CA服务器时的期限还是下发证书的期限？

  如果你说的是后者，对于一个CA颁发出的证书，其有效期是由证书模板有效期和ValidityPeriodUnits中较小的值来决定的，在安装CA服务时如果没有定义capolicy.inf，默认情况下ValidityPeriodUnits将被设为2。 这个都是可以修改的。

  ---

  面帶微笑，春暖花開

  • 已建议为答案 lr5420511 2010年6月7日 11:20

  2010年6月6日 15:35

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  看来企业根CA，只有windows 2008才行。

  可以见下面：

  企业根类型的证书颁发机构,默认申请的证书时效为多长? 如何变更?

   

  答: 企业根类型,默认为2年 (注:相对windows 2008是两年,windows 2003是一年的)

  对于企业CA，由于证书模板也定义了基于该模板的证书的有效期，那么证书的有效期最终为下列时间中的最短者：
  
  a. 注册表中定义的有效期
  b. 证书模板定义的有效期
  c. CA 根证书的终止日期（如果CA根证书过期了，那么所有的由该CA颁发的证书也自动过期）
  
  所有如果要想把企业CA颁发的证书有效期变根，除了修改上面的注册表键值，必须也同时更改证书模板的有效期。
  但是请注意只有version 2 的证书模板才能被修改，version 1 的证书模板是固定的。
  如果企业CA是安装在Windows Server 2008 Standard 版本，CA只能颁发基于version 1 模板的证书, 所以是没办法改的。
  
  只有企业CA安装在Windows Server 2008 Enterprise版本，我们才能颁发基于version 2 模板的证书。复制出来的证书模板都是version 2的模板，可以更改其有效期。
  默认证书模板的有效期可以这样查看：
  a. 打开证书颁发机构MMC
  b. 右键点击证书模板然后选择管理
  c. 可以双击每个模板来查看其有效期
  
  可以看到对于默认的version 1的模板，属性都是灰色的不能更改。只有复制出version 2的模板，有效期才能更改。 但只有企业CA安装在Windows Server 2008 Enterprise版本上才能颁发基于version 2的模板的证书。

  2010年6月7日 3:25

  回复

  |

  引用
• 

  

  0

  登录进行投票

  win2003 就没有办法是吗？

  2010年6月7日 5:39

  回复

  |

  引用
• 

  

  0

  登录进行投票

  您好！
  
  

  默认情况下，独立证书颁发机构 CA 签发的证书的有效期是一年。一年之后证书即过期，其使用将不再受信任。但在某些情况下，您可能必须要覆盖由中介或发证 CA 所签发的证书的默认终止日期。注册表中定义的有效期限会影响所有由独立 CA 和企业 CA 签发的证书。对于企业 CA，默认注册表设置为两年。对于独立的 CA，默认注册表设置为一年。对于由独立 CA 签发的证书，其有效期限由注册表项确定。该值适用于所有 CA 签发的证书。

   

  您可以通过修改注册表如下键值来修改CA颁发证书的有效期：

  HK_Local_Machine\system\currentcontrolset\services\certsvc\configuration\<caname>\ValiditPeriodUnits

  HK_Local_Machine\system\currentcontrolset\services\certsvc\configuration\<caname>\ValiditPeriod

   

  更多信息请您参考以下文章：

  HOW TO：更改 Windows Server 2003 或 Windows 2000 Server 证书颁发机构所签发证书的终止日期

  http://support.microsoft.com/?id=254632

   

  警告：注册表编辑器使用不当可导致严重问题，可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

  
  希望我的回答对您有所帮助，如果您还有什么问题，请您再和我们联系。
  
  Tom Zhang 张一平
  
  

  ---

  Tom Zhang – MSFT

  • 已标记为答案 Tom Zhang – MSFTModerator 2010年6月30日 8:14

  2010年6月7日 9:39

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  您可以通过修改注册表如下键值来修改CA颁发证书的有效期：

  HK_Local_Machine\system\currentcontrolset\services\certsvc\configuration\<caname>\ValiditPeriodUnits

  HK_Local_Machine\system\currentcontrolset\services\certsvc\configuration\<caname>\ValiditPeriod

   

  我更改了，不生效。

   

  ValiditPeriodUnits = year

  ValiditPeriod   改为 8

   

  我的是企业 CA

   

  ???

  2010年6月7日 11:12

  回复

  |

  引用
• 

  

  0

  登录进行投票

   

  请有做过的人帮忙确认，

  请高人指点，谢谢了。

  2010年6月8日 9:49

  回复

  |

  引用
• 

  

  0

  登录进行投票

  根据我的确认，version1模板的有效期应该是无法修改的，所以你修改了注册表相关键值也是没有用处的。http://support.microsoft.com/?id=254632这个链接中也有明确的说明了：对于企业 CA 签发的证书，其有效期限硬编码在用来创建证书的模板中。Windows 2000 和 Windows Server 2003 不支持对这些模板的修改。

  ---

  面帶微笑，春暖花開

  • 已标记为答案 Tom Zhang – MSFTModerator 2010年6月30日 8:13

  2010年6月8日 12:41

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  好的，谢谢。

  2010年6月9日 0:24

  回复

  |

  引用
• 

  

  0

  登录进行投票

  我是把时间改大可以，改小不行，不知道为啥？

  把注册表改了，然后在c:\windows下新建了一个CApolicy.inf，内容如下：

  [Version]
   Signature= "$Windows NT$"
   [Certsrv_Server]
   RenewalKeyLength=4096
   RenewalValidityPeriod=Years
   RenewalValidityPeriodUnits=15
   [CRLDistributionPoint]
   [AuthorityInformationAccess]

  从30年改到了50年，，再到60年，根证书续约后都正常，但改小，如改为10年或5年都不行了

  2010年7月3日 14:26

  回复

  |

  引用
• 

  

  0

  登录进行投票

  证书和密钥的分发都是加密的吗--不是https那个

   

  这个这么发来发去，太犀利鸟

  2010年7月3日 16:04

  回复

  |

  引用