我想知道当 CA 证书在 1 年后到期时,有效期为 2 年的证书模板(例如)会颁发证书,会发生什么情况。
我能想到两件可能发生的事,但这只是猜测,这就是我想知道的原因。我认为可能会发生以下情况:
- 您可以发送某种通知。
- 颁发的证书的有效期为 1 年,而不是 2 年。
谁能告诉我会发生什么?
答案1
颁发的证书的有效期为 1 年,而不是 2 年。
这是正确答案。ADCS 将签署证书,但颁发的证书的有效期不会超过 CA 证书的有效期,并且仅限于 1 年。
为了避免这种情况,您应该提前更新 CA 证书。最好X
在 CA 证书到期前 -- 年,其中X
是操作证书模板设置中指定的最长有效期。也就是说,如果任何操作模板提供的最长有效期为 3 年,您应该在 CA 证书到期前 3 年更新 CA 证书(依此类推)。
另一点需要考虑:始终使用以下方式更新 CA 证书*新的*密钥对。这将确保任何客户端在链构建期间只构建一个认证路径。否则,当存在更好的替代方案时,如果选择了错误的(过期的)链,您可能会遇到问题。不要重复使用 CA 密钥。