Шаблон выдает сертификат с более длительным сроком действия, чем CA Certiicate, что происходит? [дубликат]
На этот вопрос уже есть ответ:
Интересно, что произойдет с шаблоном сертификата с срок действия 2 года (например) выдаст сертификат, когда срок действия сертификата CA истекает через 1 год.
Я могу придумать 2 вещи, которые могут произойти, но это всего лишь предположение, поэтому я хотел бы знать. Думаю, возможно, произойдет следующее:
- Можно уведомление какое-то.
- Срок действия выданного сертификата истекает 1 год, а не 2.
Кто-нибудь может сказать мне, что будет?
Срок действия выданного сертификата истекает 1 год, а не 2.
это правильный ответ. ADCS подпишет сертификат,однако срок действия выданного сертификата не будет превышать срок действия сертификата ЦС и ограничен только 1 годом.
Чтобы избежать этого, вам следует заранее обновить сертификат CA. В лучшем случае - X лет до истечения срока действия сертификата CA, где X - это наибольший срок действия, указанный в настройках рабочего шаблона сертификата. То есть, если максимальный срок действия любого рабочего шаблона составляет 3 года, вам следует обновить сертификат CA за 3 года до истечения срока его действия (и так далее).
Еще один момент, который следует учитывать: всегда обновляйте сертификат CA с помощью * НОВАЯ пара ключей * . Это гарантирует, что любой клиент построит только один путь сертификации во время построения цепочки. В противном случае вы можете столкнуться с проблемами, когда выбрана неправильная (просроченная) цепочка, когда существуют лучшие альтернативы. Не используйте повторно ключи CA.