模板頒發的證書比 CA 證書的有效期更長，會發生什麼？

我想知道當 CA 證書在 1 年內到期時（例如）有效期為 2 年的證書模板將頒發證書會發生什麼。

我能想到兩件可能發生的事情，但這只是猜測，這就是我想知道的原因。我認為可能會發生以下情況：

• 您可以發出某種通知。
• 頒發的證書的有效期為 1 年，而不是 2 年。

誰能告訴我會發生什麼？

頒發的證書的有效期為 1 年，而不是 2 年。

這是正確的答案。ADCS 將簽署證書，但頒發的證書的有效期不會超過 CA 證書的有效期，並且僅限於 1 年。

為避免這種情況，您應提前更新 CA 證書。最好 -X在 CA 證書到期之前的幾年，其中X是操作證書模板設置中指定的最長有效期。也就是說，如果任何操作模板提供的最長有效期為 3 年，您應該在其到期前 3 年更新 CA 證書（以此類推）。

要考慮的另一點：始終使用NEW密鑰對更新 CA 證書。這將確保任何客戶端在建鏈過程中只建構一個認證路徑。否則，當存在更好的替代方案時選擇錯誤（過期）鏈時，您可能會遇到問題。不要重複使用 CA 密鑰。

引用自：https://serverfault.com/questions/954711