Windows PKI策略有一个设置,用于在AD模板到期时自动更新颁发的证书。
📷
还必须在证书颁发机构(CA)端启用它。问题--如果我将一个基于AD模板的证书从最初生成它的机器复制到另一个盒子中,那么自动更新会在新的盒子上工作吗?
这可能取决于更新是由CA发起还是由证书的主计算机启动。在前一种情况下,CA可能不知道证书已被复制,并可能通过全局策略将其推送到原始主机。
我已经在2008年的R2上建立了一个微软独立CA作为根CA。我正在尝试建立一个从属的企业CA。我生成了证书请求,并将其提交给根CA。然后,运行以下命令将过期日期设置为20年(请求ID为5):
certutil -setattributes 5 "ValidityPeriod:Years\nValidityPeriodUnits:20"
然后,我批准了请求,但失败了。“请求状态代码”是:
The specified time is invalid. 0x8007076d (WIN32: 1901)
请求处理消息是:
Denied by Policy Module 0x80070