我有一个内部 Microsoft Windows CA(Windows Server 2012R2)。我有一个代码签名模板,已向少数用户发布,有效期为 6 年。现在我想用另一个有效期更短的模板取代这个 6 年模板。
我复制了模板,将“有效期”的值从 6 年更改为 3 年,并在“已取代的模板”下添加了 6 年模板。然后我禁用了 6 年模板并启用了 3 年模板。
当我现在去找客户并尝试“用相同的密钥更新证书”时,这不起作用,因为缺少 6 年的模板。
所以我的问题是:
- 当此证书使用的模板被取代时,是否有可能用相同的密钥来更新证书?
- 我是否需要保持被取代的模板处于启用状态?
感谢任何意见
答案1
证书模板取代仅由证书自动注册组件使用。据我所知,没有其他工具会考虑此设置。
当您进行手动注册和/或现有证书更新时,不会考虑取代,并且需要精确的模板来请求/更新。
答案2
我相信您不需要在这里进行取代,您可以使用证书模板 MMC 中的重新注册所有证书持有者选项,转到模板,更改您需要的内容,然后右键单击模板并重新注册所有证书持有者,然后此更改将在 8 小时内对客户端产生影响,或者您可以使用 certuitl 命令通过 certutil -pulse 推送更改