关于Windows证书服务器题目的一个易错点

Souts 2021年11月24日 1,348次浏览
首先分析一下题目

题中要求CA证书有效期20年,CA颁发证书有效期均为10年

很多做网搭的新手经常会的犯一个错误,明明在配置证书服务器的时候只会碰到一个关于时间的设置选项,为什么题里需要设置两个时间?

问题分析

首先我们要知道作为一个CA证书颁发的服务器,他需要有个自己的认证证书,当其他的用户进行证书认证时用来证明自己身份的CA证书。可能这里有点不好理解,配置根证书颁发机构受信任是一种比较常见的应用场景。

所以在此处我们配置的日期则是本服务器用作认证的CA证书有效期。

CA颁发证书有效期配置

下面介绍一下CA颁发证书的有效期配置。

我测试使用的环境是Windows Server 2019,经过测试发现默认的颁发证书有效期为2年

修改颁发证书有效期

修改颁发证书的有效期目前发现的方法只有一种就是修改注册表

打开CA服务器的注册表编辑器进入

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration<CAName>

里面ValidityPeriodUnits的数值对应的就是颁发证书的有效期我们此处改为10

注意:网上很多的教程均讲到这个地方,但是经过实践测试之后到这里的操作并不能改变证书颁发的有效期问题
修改颁发证书有效期(二)

上面的操作仅仅是更改了默认申请证书的最小值,但是在证书申请中我们会用到一个证书模板的技术,所以我们还需要修改一下证书模板的有效期时间。

此处我们使用Web服务器证书模板作为演示

打开证书颁发机构GUI管理工具

之后进入到证书模板控制台我们找到Web服务器模板查看属性

但是发现Web服务器模板的有效期是不能修改的

这时候就需要我们复制一份模板

需要修改一些参数才能正常使用

有效期根据题目要求设置

题目中大多是通过iis进行的证书申请,所以这里修改为1024会更方便

之后回到证书颁发机构的管理窗口

添加我们刚刚新建的模板

到这里修改颁发证书有效期的配置就结束了

申请证书

直接在客户机的web端申请证书,需要注意的是证书模板需要选择我们自己创建的模板

最后下载下来我们可以发现有效期已经成功更改了