我们正在对内部开发机器和其他内部连接加密使用自签名证书。
该证书是使用 Microsoft 证书服务器创建的。
我需要将证书服务器从旧的 DC 移动到新的 DC,我想知道在证书无法验证并且连接开始失败之前证书服务器可以使用多长时间。
我不相信这是立即的,但我也记不太清楚。
答案1
一旦发布的证书吊销列表(或 Delta CRL,如果正在使用)过期或无法访问(请确保并非所有分发点都在 CA 本身上),证书将开始验证失败。这将完全取决于您的配置,可能需要不到一小时到几个月的时间。
企业 PKI 管理单元 ( pkiview.msc) 是检查 CRL 状态和到期时间的良好资源,并且您可以在 CA 上检查其配置的有效期。
对于标准 CRL:
certutil -getreg ca\crlperiodunits
certutil -getreg ca\crlperiod
增量如下:
certutil -getreg ca\crldeltaperiodunits
certutil -getreg ca\crldeltaperiod