Сертификаты, которые генерирует мой ЦС Microsoft, не соответствуют периоду времени, указанному в используемом шаблоне. Как я могу это решить?
Недавно я создал новый шаблон сертификата для использования на своих Linux-серверах в моем Microsoft CA (2008 R2 Enterprise). Этот шаблон одобрен для аутентификации сервера и клиента со сроком действия 10 лет - ожидаемым сроком службы наших ящиков Linux - и именем субъекта, указанным в запросе. Я проверил как промежуточный, так и автономный ЦС - у обоих указано более 10 лет жизни. Сертификаты действительны ровно два года.
Есть ли здесь какой-то жесткий предел?
По умолчанию ADCS настроен на выдачу сертификатов максимум на 2 года (независимо от шаблона или запроса).
Чтобы изменить это, просто выполните следующие две команды (при необходимости измените):
certutil -setreg CA\ValidityPeriod "Years"
certutil -setreg CA\ValidityPeriodUnits 10
Затем перезапустите службы сертификатов:
net stop certsvc
net start certsvc