根证书颁发机构过期
默认的安装的企业根证书颁发机构,五年过期!!快要过期了,要重装根证书颁发机构,原有的客户端都安装的根证书,不想再重装一次,如何操作!!
回答:根据您的描述,我对这个问题的理解是: CA颁发的证书快要过期了,您想重装CA并想知道重装后怎样使原有的客户端安装新的根证书。
根据我的经验,您也可以不重装CA而直接修改CA默认颁发的证书的使用期限。修改的方法是修改这个注册表子键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName> 下的键值ValidityPeriod。详细方法您可以参考这篇知识库文档。
How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
在您重装CA或者修改CA所颁发的证书的使用期限后,您可以通过配置组策略来自动在客户端安装新的根证书。配置方法如下:
- 在DC上编辑 默认的域策略 ,展开到下面的位置:
- 计算机配置/Windows 设置/安全设置/公钥策略/受信任的根证书颁发机构
- 在控制台树中,右键单击“受信任的根证书颁发机构”,指向“所有任务”,然后单击“导入”。
- 单击“下一步”,然后按照向导中的说明将 CA 的 .crt 文件(位于 \System32\CertSrv\CertEnroll 文件夹)导入到“受信任的根目录证书颁发机构”存储区中。
- 在命令行下运行“gpupdate /force”来刷新组策略,这样设置好后,加入域的客户端在重启电脑后应该就可以自动安装新的根证书了。
是的,修改注册表的方式与您之前提到的重装CA都可以使新颁发的证书有效期延长(之前颁发证书的有效期是5年,可以通过这样的方法延长到10年或者是其它的有效期)。但是针对正在使用的证书,是没有办法修改有效期的(因为证书已经颁发了,已经颁发的证书是不能修改有效期的),所以我们需要重新申请证书。
更改 Windows Server 2003 或 Windows 2000 Server 证书颁发机构所签发证书的终止日期
要更改 CA 的有效期限设置,请按照下列步骤操作:
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
- 单击“开始”,然后单击“运行”。
- 在“打开”框中,键入 regedit,然后单击“确定”。
- 找到并随后单击下面的注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>
- 在右窗格中,双击“ValidityPeriod”。
- 在“数值数据”框中,键入以下时间单位之一,然后单击“确定”:
- Days
- Weeks
- Months
- Years
- 在右窗格中,双击“ValidityPeriodUnits”。
- 在“数值数据”框中,键入您希望的数值,然后单击“确定”。例如,键入 2。
- 停止,然后重新启动“证书服务”服务。为此,请按下列步骤操作:
- 单击“开始”,然后单击“运行”。
- 在“打开”框中,键入 cmd,然后单击“确定”。
- 在命令提示符处,键入下列命令行。在每一行之后按 Enter 键。
net stop certsvc
net start certsvc - 键入 exit 退出命令提示窗口。
浙公网安备 33010602011771号