Назад | Перейти на главную страницу

Шаблон выдает сертификат с более длительным сроком действия, чем сертификат CA, что происходит?

Мне интересно, что произойдет, если шаблон сертификата со сроком действия 2 года (например) выдаст сертификат, когда срок действия сертификата CA истекает через 1 год.

Я могу придумать 2 вещи, которые могут произойти, но это всего лишь предположение, поэтому я хотел бы знать. Думаю, возможно, произойдет следующее:

Кто-нибудь может сказать мне, что будет?

Срок действия выданного сертификата истекает 1 год, а не 2.

это правильный ответ. ADCS подпишет сертификат, однако срок действия выданного сертификата не будет превышать срок действия сертификата CA и ограничен только 1 годом.

Чтобы этого избежать, вам следует заранее обновить сертификат CA. В лучшем случае - X лет до истечения срока действия сертификата ЦС, где X - самый продолжительный срок действия, указанный в настройках шаблона действующего сертификата. То есть, если максимальный срок действия любого рабочего шаблона составляет 3 года, вам следует обновить сертификат ЦС за 3 года до истечения срока его действия (и так далее).

Еще один момент, который следует учитывать: всегда обновляйте сертификат CA с помощью * НОВИНКА * пара ключей. Это гарантирует, что любой клиент построит только один путь сертификации во время построения цепочки. В противном случае вы можете столкнуться с проблемами при выборе неправильной (истекшей) цепочки, когда существуют лучшие альтернативы. Не используйте повторно ключи CA.