我正在尝试使用 Microsoft ADCS 安装从属 CA,安装后会创建一个 .req 文件。然后我在根 CA 上使用该文件颁发证书。生成的证书始终有效期为 5 年。我希望有效期为 10 年。我尝试在从属 CA 上的 CAPolicy.inf 文件中设置 ValidityPeriod=Years 和 ValidityPeriodUnits=10。我还尝试了其他各种方法,但似乎都没有什么效果。我使用的安装命令是:
Install-AdcsCertificationAuthority -CAType EnterpriseSubordinateCA -CACommonName "IssuingCA" -KeyLength 2048 -HashAlgorithm SHA256 -CryptoProviderName "RSA#Microsoft Software Key Storage Provider"
我卸载了它并尝试使用命令中的 -ValidityPeriod years -ValidityPeriodUnits 10 重新安装,但出现错误:Install-AdcsCertificationAuthority:在对象的当前状态下无法修改属性。当前 CA 类型不允许修改此属性。为资源的属性指定的两个或多个参数值存在冲突。0x80071709 (WIN32: 5897 ERROR_CLUSTER_PARAMETER_MISMATCH)
还有人知道怎么做吗?
答案1
安装新的企业从属 CA 时,您无法设置 ValidityPeriod 和 ValidityPeriodUnits 参数。这可以通过使用以下命令修改根 CA 上的策略来完成:
certutil -setreg ca\ValidityPeriodUnits 10
certutil -setreg ca\ValidityPeriod Years
之后不要忘记重新启动 CertSrv 服务。然后您可以颁发颁发 CA 证书,该证书的有效期为 10 年,只要您的根 CA 的有效期更长即可。