询问者
Win2012 更改ca有效期

问题
全部回复
-
尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
根CA证书和从属CA证书都不是通过证书模板发出来的,而是我们建立PKI架构的时候颁发出来的。
所以我们一般通过更改CA 服务器上的CApolicy.inf (在C:\Windows)文件里的有效期,更改以后保存好,然后更新证书,从而实现了更改CA证书的有效期。
例如,我的测试环境中的根CA和从属CA的有效期如下:
根证书的CApolicy.inf文件:
从属CA证书的CApolicy.inf文件:
我们可以按照以下的步骤更改从属CA的有效期:
一般根CA证书的有效期设置为从属CA证书的有效期的两倍。
如果想要更改根CA的证书有效期,就打开根CA服务器上的这个文件更改有效期,更改以后保存好,然后更新证书,从而实现了更改CA证书的有效期。
同理,如果想要更改从属CA证书的有效期:
1. 打开从属CA服务器上的这个文件更改有效期,更改以后保存好;
2. 然后更新证书,从而实现了更改CA证书的有效期。
希望上述的回复对您有帮助,如有任何不清楚的地方,欢迎您随时咨询。
此致,
Daisy Zhou
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com. -
尊敬的客户,您好!
感谢您的回复。
如果我们没有这个文件,应该是您当初建立这个环境的时候不是通过建立这个文件的方式建立PKI环境的。
我自己的测试环境都是通过以下的两个文章中的步骤建立的,一层CA和两层CA,都是有这个文件的。
https://social.technet.microsoft.com/wiki/contents/articles/11750.adcs-step-by-step-guide-single-tier-pki-hierarchy-deployment.aspx
https://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx
那么您的问题,我们还可以按照以下的方式,修改从属CA的有效期:
因为从属CA的证书是根CA颁发的,所以从属CA的证书有效期受到以下两个因素的影响,而且取决于他们中的较小的那个值:
1. 根CA证书的剩余有效期。
2. 根CA服务器上的指定的注册表的值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>\ValidityPeriodUnits
例如:在我的测试环境中,根CA证书的有效期是20年,并且我的根CA的剩余有效期还有19年多,但是这个注册表值只有10年。
所以我的从属CA证书有效期就是10年。
3. 建议您登录根CA服务器,看看根CA证书的剩余有效期是否比这个注册值大,大多少时间,是不是您想要的那个时间长度,如果是的话,尝试更改以上的注册表试试((修改成您想要的时间长度)),改完了以后,更新从属CA的证书看是否有用。
4. 如果根CA证书的剩余有效期比这个注册值还要小,那肯定不是您想要的那个时间长度,我们需要先更新根CA证书,那么这时候根CA证书的有效期就从今天开始,总时间长度不变,剩余时间就很长了,然后尝试更改以上的注册表试试(修改成您想要的时间长度),改完了以后,更新从属CA的证书看是否有用。
温馨提示:
1.一般注册表的这个值比根CA的时间小,长了也没有意义。
2.记住从属CA的证书有效期遵照上面的两条原则,取决于较小的时间。
此致,
Daisy Zhou
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2020年2月21日 3:43
-
尊敬的客户,您好!
请问我们是否成功延长了从属CA的证书了呢?如果有任何不清楚的地方,欢迎您随时咨询.
感谢您的理解和支持。
此致,
Daisy Zhou
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.