Мы используем самозаверяющие сертификаты для машин внутренней разработки и другое внутреннее шифрование соединений.
Сертификаты были созданы с помощью Microsoft Certificate Server.
Мне нужно переместить сервер сертификатов со старого контроллера домена на новый, мне интересно, как долго сервер сертификатов может быть недоступен, прежде чем сертификат не сможет быть проверен и соединения начнут отказываться.
Я не верю, что это произойдет сразу, но точно не помню.
Сертификаты не пройдут проверку после истечения срока действия опубликованного списка отозванных сертификатов (или Delta CRL, если они используются) или когда он станет недоступен (убедитесь, что не все ваши точки распространения находятся в самом центре сертификации). Это будет полностью зависеть от вашей конфигурации и может составлять от часа до нескольких месяцев.
Оснастка Enterprise PKI (pkiview.msc) является хорошим ресурсом для проверки состояния и срока действия ваших списков отзыва сертификатов, и вы можете проверить их настроенное время жизни в ЦС.
Для стандартного CRL:
certutil -getreg ca\crlperiodunits
certutil -getreg ca\crlperiod
И дельта:
certutil -getreg ca\crldeltaperiodunits
certutil -getreg ca\crldeltaperiod