none
Win2012 更改ca有效期 RRS feed

  • 问题

  • 本人修改了复制了一份【从属服务器模板】,并修改成以下图

    接着开了另外一台机器,并创建为CA从属服务器,申请证书时选择的是【将证书申请发送到父CA】,并选择了父CA

    但是,创建成功后

    到期时间并不是4年,而且证书模板用的也是SubCA,并不是我自定义的,再然后发现了【取代模板】,然而并没有找到【从属证书颁发机构】


    • 已编辑 Yun_Xi 2020年12月29日 1:23
    2020年2月19日 10:05

全部回复

  • 发现是因为【模板证书】中没有去添加这个模板,但是本人自己复制出来的证书模板后,把系统自带的模板删除了

    接着申请证书时出现以下情况

    【这是根CA中心的 失败申请 列表】

    这是申请失败后,提示框说将req文件传到根CA中申请,根据论坛上其他帖子的说法是证书的权限问题

     

    但是我个人想实现的是只更改证书的有效期,而这么操作导致了要手动签发证书

    • 已编辑 Yun_Xi 2020年2月20日 1:37
    2020年2月20日 1:34
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根CA证书和从属CA证书都不是通过证书模板发出来的,而是我们建立PKI架构的时候颁发出来的。

    所以我们一般通过更改CA 服务器上的CApolicy.inf (在C:\Windows)文件里的有效期,更改以后保存好,然后更新证书,从而实现了更改CA证书的有效期。


    例如,我的测试环境中的根CA和从属CA的有效期如下:

    根证书的CApolicy.inf文件:



    从属CA证书的CApolicy.inf文件:




    我们可以按照以下的步骤更改从属CA的有效期:

    一般根CA证书的有效期设置为从属CA证书的有效期的两倍。

    如果想要更改根CA的证书有效期,就打开根CA服务器上的这个文件更改有效期,更改以后保存好,然后更新证书,从而实现了更改CA证书的有效期。

    同理,如果想要更改从属CA证书的有效期:

    1. 打开从属CA服务器上的这个文件更改有效期,更改以后保存好;
    2. 然后更新证书,从而实现了更改CA证书的有效期。




    希望上述的回复对您有帮助,如有任何不清楚的地方,欢迎您随时咨询。




    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Yun_Xi 2020年2月20日 7:24
    • 取消答案标记 Yun_Xi 2020年5月28日 0:34
    2020年2月20日 2:39
    版主
  • 您的意思就是,通过修改 CApolicy.inf 这个文件实现修改颁发的时间,然后重新续订

    但是我的测试机器并没有这个文件

    而且我想实现在 从属CA服务器的安装后 ,就修改了有效期

    2020年2月20日 8:07
  • 尊敬的客户,您好!

    感谢您的回复。

    如果我们没有这个文件,应该是您当初建立这个环境的时候不是通过建立这个文件的方式建立PKI环境的。

    我自己的测试环境都是通过以下的两个文章中的步骤建立的,一层CA和两层CA,都是有这个文件的。

    https://social.technet.microsoft.com/wiki/contents/articles/11750.adcs-step-by-step-guide-single-tier-pki-hierarchy-deployment.aspx

    https://social.technet.microsoft.com/wiki/contents/articles/15037.ad-cs-step-by-step-guide-two-tier-pki-hierarchy-deployment.aspx



    那么您的问题,我们还可以按照以下的方式,修改从属CA的有效期:


    因为从属CA的证书是根CA颁发的,所以从属CA的证书有效期受到以下两个因素的影响,而且取决于他们中的较小的那个值:

    1. 根CA证书的剩余有效期。

    2. 根CA服务器上的指定的注册表的值:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>\ValidityPeriodUnits


    例如:在我的测试环境中,根CA证书的有效期是20年,并且我的根CA的剩余有效期还有19年多,但是这个注册表值只有10年。




    所以我的从属CA证书有效期就是10年。



    3. 建议您登录根CA服务器,看看根CA证书的剩余有效期是否比这个注册值大,大多少时间,是不是您想要的那个时间长度,如果是的话,尝试更改以上的注册表试试((修改成您想要的时间长度)),改完了以后,更新从属CA的证书看是否有用。


    4. 如果根CA证书的剩余有效期比这个注册值还要小,那肯定不是您想要的那个时间长度,我们需要先更新根CA证书,那么这时候根CA证书的有效期就从今天开始,总时间长度不变,剩余时间就很长了,然后尝试更改以上的注册表试试(修改成您想要的时间长度),改完了以后,更新从属CA的证书看是否有用。



    温馨提示:
    1.一般注册表的这个值比根CA的时间小,长了也没有意义。
    2.记住从属CA的证书有效期遵照上面的两条原则,取决于较小的时间。


    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年2月21日 3:39
    版主
  • 尊敬的客户,您好!

    请问我们是否成功延长了从属CA的证书了呢?如果有任何不清楚的地方,欢迎您随时咨询.

    感谢您的理解和支持。


    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年2月25日 1:47
    版主