Certificate-Authority
模板頒發的證書比 CA 證書的有效期更長,會發生什麼?
我想知道當 CA 證書在 1 年內到期時(例如)有效期為 2 年的證書模板將頒發證書會發生什麼。
我能想到兩件可能發生的事情,但這只是猜測,這就是我想知道的原因。我認為可能會發生以下情況:
- 您可以發出某種通知。
- 頒發的證書的有效期為 1 年,而不是 2 年。
誰能告訴我會發生什麼?
頒發的證書的有效期為 1 年,而不是 2 年。
這是正確的答案。ADCS 將簽署證書,但頒發的證書的有效期不會超過 CA 證書的有效期,並且僅限於 1 年。
為避免這種情況,您應提前更新 CA 證書。最好 -
X
在 CA 證書到期之前的幾年,其中X
是操作證書模板設置中指定的最長有效期。也就是說,如果任何操作模板提供的最長有效期為 3 年,您應該在其到期前 3 年更新 CA 證書(以此類推)。要考慮的另一點:始終使用NEW密鑰對更新 CA 證書。這將確保任何客戶端在建鏈過程中只建構一個認證路徑。否則,當存在更好的替代方案時選擇錯誤(過期)鏈時,您可能會遇到問題。不要重複使用 CA 密鑰。