我想知道当 CA 证书在 1 年内到期时(例如)有效期为 2 年的证书模板将颁发证书会发生什么。
我能想到两件可能发生的事情,但这只是猜测,这就是我想知道的原因。我认为可能会发生以下情况:
- 您可以发出某种通知。
- 颁发的证书的有效期为 1 年,而不是 2 年。
谁能告诉我会发生什么?
AskOverflow.Dev
我想知道当 CA 证书在 1 年内到期时(例如)有效期为 2 年的证书模板将颁发证书会发生什么。
我能想到两件可能发生的事情,但这只是猜测,这就是我想知道的原因。我认为可能会发生以下情况:
谁能告诉我会发生什么?
这是正确的答案。ADCS 将签署证书,但颁发的证书的有效期不会超过 CA 证书的有效期,并且仅限于 1 年。
为避免这种情况,您应提前更新 CA 证书。最好 -
X在 CA 证书到期之前的几年,其中X是操作证书模板设置中指定的最长有效期。也就是说,如果任何操作模板提供的最长有效期为 3 年,您应该在其到期前 3 年更新 CA 证书(以此类推)。要考虑的另一点:始终使用*NEW*密钥对更新 CA 证书。这将确保任何客户端在建链过程中只构建一个认证路径。否则,当存在更好的替代方案时选择错误(过期)链时,您可能会遇到问题。不要重复使用 CA 密钥。