Я установил автономный центр сертификации Microsoft на 2008 R2 в качестве корневого центра сертификации. Я пытаюсь настроить подчиненный центр сертификации предприятия. Я создал запрос на сертификат и отправил его в корневой центр сертификации. Затем я выполнил следующую команду, чтобы установить срок действия 20 лет (идентификатор запроса 5):
certutil -setattributes 5 "ValidityPeriod:Years\nValidityPeriodUnits:20"
Затем я утвердил запрос, но он не прошел. Код состояния запроса:
The specified time is invalid. 0x8007076d (WIN32: 1901)
Сообщение о размещении запроса:
Denied by Policy Module 0x8007076d, The requested validity period is invalid.
Confirm that the validity period or expiration data and time specified in the request
does not extend beyond the validity period of the CA certificate, the certificate
template, and the CA. The validity period of the CA can be verified by running the
following commands: certutil -getreg ca\validityPeriod
& certutil -getreg ca\ValidityPeriodUnits
Срок действия сертификата ЦС - 40 лет (истекает в 2052 году). Условие шаблона не применяется, поскольку это автономный центр сертификации. Результатом этих команд будет Years и 1 соответственно.
Похоже, мне нужно будет изменить validityPeriod и validityPeriodUnits CA. Но я хочу, чтобы срок действия запроса по умолчанию составлял 1 год. Есть ли способ установить максимальный срок действия и срок действия по умолчанию, или мне придется его изменить, выпустить сертификат, а затем снова изменить его?
В соответствии с Документация Windows 2000:
All certificates that the stand-alone CA issues have the lifetime specified by the
values of the ValidityPeriod and ValidityPeriodUnits registry entries. Therefore, if
you want to issue certificates with different lifetimes, you must deploy either
enterprise CAs, multiple stand-alone CAs, or third-party CAs.
Это все еще кажется в силе, согласно недавнему сообщению на social.technet.microsoft.com.
В итоге я изменил значение реестра, выпустил сертификат, а затем снова изменил его.