问题[renew](server)

我试图弄清楚为什么我的门票只能获得 0 天的可再生寿命，而不是我指定的 7 天。

我尝试在我的 krb5.conf 和 kdc.conf 中同时设置max_renewable_life（如另一个问题所示）以及renew_lifetime7 天（7d和856800），但这不起作用。我已将它们设置在[realms](krb5/kdc) 和[libdefaults](krb5) 下，但守护进程似乎忽略了此设置。但是ticket_lifetime有效。

我运行了以下命令（编辑了不必要的输出）：

$ kinit -r 20m -l 10m PRINCIPAL
$ klist -f
Valid starting       Expires              Service principal
04.03.2020 19:18:46  04.03.2020 19:28:44  krbtgt/REALM@REALM
    renew until 04.03.2020 19:18:46, Flags: RIA

正如你所看到的 kinit 的最大寿命就像一个魅力，但更新不会做任何事情。

令我沮丧的是，我也将这些设置在客户端上，但没有运气。我知道maxlife校长的情况并将其设置为 7 天，但这对我也不起作用。

如果有帮助：我正在运行 FreeBSD (FreeNAS) 并自己编译了 kerberos。是否有其他设置可以使用，或者是否有我需要设置的编译时间选项？

编辑1：

$ kadmin                                                                       
kadmin:  getprinc comfix
Principal: comfix@REALM
Expiration date: [never]
Last password change: Mi Mär 04 21:00:00 CET 2020
Password expiration date: [never]
Maximum ticket life: 0 days 10:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mi Mär 04 21:02:47 CET 2020 (comfix/admin@REALM)
Last successful authentication: Mi Mär 04 22:14:13 CET 2020
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 2
Key: vno 1, aes256-cts-hmac-sha1-96
Key: vno 1, aes128-cts-hmac-sha1-96
MKey: vno 1
Attributes: REQUIRES_PRE_AUTH DISALLOW_SVR
Policy: [none]

我网站的 SSL 证书几天前刚刚过期，我想更新它。

我最初是在两年前使用我的 Windows 2008 证书颁发机构颁发的，并且一直运行顺利，所以我想尽可能简单地更新证书，以确保所有依赖该证书的应用程序继续工作。

我可以打开一个 MMC 实例并为本地计算机添加证书管理单元。我可以在Personal下找到相关证书，但无法续订。

当我选择使用新密钥更新证书时，我收到以下消息：

Web 服务器状态：不可用
证书模板的权限不允许当前用户注册此类证书。
您无权申请此类证书。

但是，我无法理解这一点，因为我以域管理员身份登录并且我在提升模式下运行 MMC 实例。

我检查了 Web 服务器证书模板，并且域管理员对此模板具有注册权限。

FWIW，我也尝试重新启动服务器。

如何更新证书？