本文說明如何變更證書頒發機構單位 (CA) 所簽發之憑證的有效期間。
原始 KB 編號: 254632
摘要
根據預設,獨立證書頒發機構單位 CA 所簽發之憑證的存留期為一年。 一年後,憑證會過期,且不受信任以供使用。 在某些情況下,您必須覆寫中繼或發行 CA 所發行憑證的預設到期日。
登錄中定義的有效期間會影響獨立和企業 CA 發行的所有憑證。 針對企業 CA,預設登錄設定為兩年。 針對獨立 CA,預設登錄設定為一年。 對於獨立 CA 所簽發的憑證,有效期間取決於本文稍後所述的登錄專案。 這個值適用於 CA 簽發的所有憑證。
對於企業 CA 所簽發的憑證,有效期間定義於用來建立憑證的範本中。 Windows 2000 和 Windows Server 2003 Standard Edition 不支援修改這些範本。 Windows Server 2003 Enterprise Edition 支援可修改的版本 2 證書範本。 範本中定義的有效期間適用於 Active Directory 樹系中任何企業 CA 所簽發的所有憑證。 CA 所簽發的憑證在下列期間內至少有效:
本文稍早所述的登錄有效期間。
這適用於獨立 CA,以及企業 CA 所發行的次級 CA 憑證。
範本有效期間。
這適用於企業 CA。 Windows 2000 和 Windows Server 2003 Standard Edition 支援的範本無法修改。 Windows Server Enterprise Edition 支援的範本(第 2 版範本)支援修改。
針對企業 CA,所發行憑證的有效期間會設定為下列所有憑證的最小值:
CA 的登錄有效期間(例如:ValidityPeriod == Years,ValidityPeriodUnits == 1)
範本有效期間
CA 簽署憑證的剩餘有效期間
如果在原則模組的EditFlags 登錄值中啟用EDITF_ATTRIBUTEENDDATE位,則透過要求屬性指定的有效期間(ExpirationDate:Date 或 ValidityPeriod:Years\nValidityPeriodUnits:1)
注意
在 Windows Server 2008 之前不支援 ExpirationDate:Date 語法。
針對獨立 CA,不會處理任何範本。 因此,不會套用範本有效期間。
CA 憑證的到期日
CA 無法發行有效期限比自己的 CA 憑證更長的憑證。
注意
要求屬性名稱是由伴隨要求且指定有效期間的值字串組所組成。 根據預設,這隻會由獨立 CA 上的登錄設定來啟用。
變更 CA 所簽發憑證的到期日
若要變更 CA 的有效期間設定,請遵循下列步驟。
重要
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需備份和還原登錄的詳細資訊,請參閱如何在 Windows 中備份及還原登錄。
按一下 [開始],再按一下 [執行]。
在 [ 開啟 ] 方塊中,輸入 regedit,然後按兩下 [ 確定]。
找出並按一下下列登錄機碼:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\
在右窗格中,按兩下 [ValidityPeriod]。
在 [ 值數據 ] 方塊中,輸入下列其中一項,然後按兩下 [ 確定]:
天
星期
月
年
在右窗格中,按兩下 ValidityPeriodUnits。
在 [ 值數據] 方塊中,輸入您想要的數值,然後按兩下 [ 確定]。 例如,輸入 2。
停止,然後重新啟動憑證服務服務。 若要這麼做︰
按一下 [開始],再按一下 [執行]。
在 [ 開啟] 方塊中,輸入 cmd,然後按兩下 [ 確定]。
在命令提示字元中,輸入下列幾行。 在每個行之後按 ENTER 鍵。
net stop certsvc
net start certsvc
輸入 exit 以結束命令提示字元。