登录
Microsoft.com
 
Microsoft
 
 
 

none
从属证书的有效期限 RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    我尝试了很多办法来修改从属证书的有效期 但是总会出现一些问题

    我尝试了复制了一份从属证书颁发机构的模板 这样我就可以修改他的有效期为20年

    然后安装从属证书在选择的那里选择从这个模板颁发出来的证书

    这样从属证书的有效期就到了20年

    但是他的签名算法会变成sha-1我不知道这样是为什么

    有没有别的方法可以代替他     可以使用别的方法修改从属证书的有效

    2023年2月2日 1:33
    |

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    我的账户还没验证所以还发布了图片

    如果有人知道还要什么办法修改从属证书有效期的话

    请帮助我

    2023年2月2日 2:11
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    请问您在从属CA服务器的    C:\Windows下面的文件夹里是否有CAPolicy.inf这个文件?
    里面的内容大概是下面这样子的,如果有的话,您可以尝试修改RenewalValidityPeriodUnits这个值。如果没有的话,您在从属CA服务器的C:\Windows下面这里新建一个.inf文件,包含一些基本的内容即可,然后设置RenewalValidityPeriodUnits这个值。设置以后需要renew从属CA的证书,才是确实修改了从属CA证书的有效期。但是请注意以下的提示点。

    [Version]

    Signature="$Windows NT$"

    [PolicyStatementExtension]

    Policies=InternalPolicy

    [InternalPolicy]

    OID= 1.2.3.4.1455.67.89.5

    URL=http://pki.fabrikam.com/cps.txt

    [Certsrv_Server]

    RenewalKeyLength=2048

    RenewalValidityPeriod=Years

    RenewalValidityPeriodUnits=10

    LoadDefaultTemplates=0

    AlternateSignatureAlgorithm=0


    AD CS Step by Step Guide: Two Tier PKI Hierarchy Deployment - TechNet Articles - United States (English) - TechNet Wiki (microsoft.com)

    温馨提示:
    1.一般建议从属CA证书的有效期是根CA的有效期的一半,例如假设根CA证书的有效期是10年,从属CA证书的有效期就设置为5年。
    2.如果根CA证书的剩余日期只有几天的话,那么即使renew了从属CA证书,那么根CA证书发给从属CA证书的有效期也只有几天。

    希望上述的回复对您有帮助。如有任何问题,欢迎您随时咨询我们。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月3日 3:03
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    我尝试inf文件这个办法 但是他重新颁发后还是从属证书模板最大5年 不会更改大于5年的有效期限

    除了更改inf这个方法还要别的办法吗

    还要您说一般从属证书的有效期是根CA有效期的一半,但是我是想让根证书和从属证书的有效期限都是20年

    不知道可不可以实现

    2023年2月3日 6:36
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    那您现在根证书设置的是几年啊?这个根证书还剩多长时间过期啊?


    如有任何问题,欢迎您随时咨询我们。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月6日 5:54
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    您好

    我现在的根证书设置的20年 

    我希望我的从属证书也是20年

    不知道有什么方法解决吗

    2023年2月6日 6:35
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    您尝试下面的步骤看看是否可以。

    1.再子CA上的sub CA证书模板设置为20年。

    2.在CAPolicy.inf文件里添加下面的信息

    [RequestAttributes]
    CertificateTemplate = "ENTSubCA"

    3.然后再更新您的子CA证书看看是否可以。


    备注:其中    ENTSubCA是子证书模板的名字。


    如有任何问题,欢迎您随时咨询我们。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    2023年2月7日 8:18
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    CA上的sub CA证书模板不能修改有效期限

    只可以复制一个sub CA证书模板

    但是这样的话他复制出来的加密算法就会变成sha-1

    2023年2月8日 0:23
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    但是这样的话他复制出来的加密算法就会变成sha-1,请问您在证书模板上哪里看到加密算法变成sha1?可以截图吗?
    把原来的    书模板上加密算法SHA256也截图看下,可以吗?


    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月8日 6:33
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    不是在证书模板看到的sha-1是主证书颁发出来的从属证书加密算法会变成sha-1

    截图的话,不知道为什么我已经向那个论坛答复很久了

    还是没给我验证,导致我不了图片

    2023年2月8日 8:59
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    您的意识是我标黄色的这里在子CA证书上一开始是sha256,重复一张子CA证书模板并更改了有效期以后,重新renew子CA证书以后,这里从sha256变成了sha1,是这样子吗?




    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月9日 6:39
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好!

    是的,要是从证书颁发机构复制一个从属颁发证书的模板

    在用这个模板申请出来的证书来给从属CA使用

    那里的签名算法会变成sha-1

    2023年2月9日 8:32
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    很抱歉才回复您,我这两天在测试搭建一个2层PKI的环境。

    我觉得您的根证书是SHA256,那么这个根证书发出来的证书都应该是SHA256.

    您可以看我的测试环境中的。




    您重复了sub CA的证书模板以后是否发布了证书模板呢?



    还有一个,您除了那里的签名算法会变成sha-1这个了,那么有效期是否变成了您想要的时间呢?



    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.




    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月14日 9:01
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    我的根证书和根证书发出来的确实是sha-256

    但是从属证书的提供程序是CSP也是sha-1

    我的有效期会变成我想要的时间

    2023年2月14日 23:58
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    我的根证书和根证书发出来的确实是sha-256
    回答:我理解的是您的根证书是sha256,根证书颁发的之前的那张子CA证书也是sha256,现在重复了一个子CA证书模板,再让根证书颁发给子CA证书,有效期变成了我们想要的有效期,但是新的子CA证书签名算法变成了sha1,我理解的对吗?

    但是从属证书的提供程序是CSP也是sha-1
    回答:现在问题可能就是这个。
    你看下证书模板上是否显示了加密提供程序的信息:


    还有在CApolicy.inf里是否设置了加密提供程序?



    我的有效期会变成我想要的时间
    回答:我觉得方法应该是对的。



    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月15日 9:22
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    我前几天有些事情所以没有即使回复你

    我的子CA证书签名是SHA-1

    但是我的子CA的证书颁发机构的提供程序是CSP 也是SHA-1

    2023年2月20日 0:42
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    您的子CA证书签名是SHA-1,子CA颁发出来的证书当然也是sha-1的呀,就是正常的,这个是我们搭建的时候选择的。


    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月20日 6:58
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    我刚才说错了,你回复我的时候我才看见

    我的子CA证书是SHA-256

    但是我的子CA颁发机构的提供程序是SHA-1也是CSP不是KSP

    2023年2月20日 8:48
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    因为根CA证书是SHA256和,并且根CA颁发机构的提供程序是SHA-2,所以根CA颁发给子CA的证书也是SHA256.
    因为    子CA颁发机构的提供程序是SHA-1也是CSP不是KSP,所以子CA颁发给终端实体的证书就是sha1,所以应该也是正常的。

    子CA颁发机构的提供程序是SHA-1也是CSP不是KSP”,这个是当时搭建PKI环境就这么设置的吧?

    您如果想把    子CA颁发机构的提供程序从SHA-1迁移到SHA2,同时把CSP迁移到KSP,您需要自己迁移的

    您可以参考以下的链接:
    SHA1 Key Migration to SHA256 for a two tier PKI hierarchy - Microsoft Community Hub




    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月22日 6:00
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    你好

    好的,我会照这个文档尝试一下

    2023年2月22日 7:08
    |
  • Question
    登录进行投票
    0
    登录进行投票
    尊敬的客户,您好!

    感谢您的回复。

    在生产环境迁移之前,建议您在测试环境先测试一下迁移的步骤和操作,熟悉一下这个迁移的所有操作,万一在生产环境遇到什么问题也好排查。

    这里也有一个相似的帖子供您参考,发帖子的人给出了大致的步骤,表明他按照这个步骤已经迁移成功了。

    migration csp to ksp - Microsoft Q&A


    希望上述的回复对您有帮助。

    此致,
    Daisy Zhou

    如果以上回复对您有所帮助,建议您将其标记为答复。如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnmff@microsoft.com.

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2023年2月23日 9:18
    |
    版主