Мне интересно, что произойдет, если шаблон сертификата со сроком действия 2 года (например) выдаст сертификат, когда срок действия сертификата CA истекает через 1 год.
Я могу придумать 2 вещи, которые могут произойти, но это всего лишь предположение, поэтому я хотел бы знать. Думаю, возможно, произойдет следующее:
Кто-нибудь может сказать мне, что будет?
Срок действия выданного сертификата истекает 1 год, а не 2.
это правильный ответ. ADCS подпишет сертификат, однако срок действия выданного сертификата не будет превышать срок действия сертификата CA и ограничен только 1 годом.
Чтобы этого избежать, вам следует заранее обновить сертификат CA. В лучшем случае - X
лет до истечения срока действия сертификата ЦС, где X
- самый продолжительный срок действия, указанный в настройках шаблона действующего сертификата. То есть, если максимальный срок действия любого рабочего шаблона составляет 3 года, вам следует обновить сертификат ЦС за 3 года до истечения срока его действия (и так далее).
Еще один момент, который следует учитывать: всегда обновляйте сертификат CA с помощью * НОВИНКА * пара ключей. Это гарантирует, что любой клиент построит только один путь сертификации во время построения цепочки. В противном случае вы можете столкнуться с проблемами при выборе неправильной (истекшей) цепочки, когда существуют лучшие альтернативы. Не используйте повторно ключи CA.