2011年11月18日 星期五

更改 Windows Server 憑證服務所發行的認證到期日期

Windows Server 的憑證服務提供了企業架設憑藉授權單位(CA)的功能,允許企業內部導入PKI架構時自行發行、管理與撤銷憑證,但Windows 憑證服務的憑證預設值有時候並不符合企業所需而必需加以變更,不過,微軟的憑證服務提供了二種類型
A. 需要Active Directory環境支援並使用憑證範本發行憑證的企業憑證授權單位(Enterprise CA)
B. 無需Active Directory支援也不使用憑證範本的獨立憑證授權單位(Stand-alone CA)
這二種不同的憑證服務更改憑證屬性的方式並不相同,以Windows Server 憑證服務發行憑證的有效年限為例,它乃是由登錄資料庫組態(ValidityPeriod、ValidityPeriodUnits)和憑證範本(只限企業CA)二者間的較小值來決定,而預設的登錄值,獨立CA為一年,企業CA為二年。

若是想要更改獨立CA的預設憑證屬性,由於獨立CA並不使用憑證範本,所以只需要直接利用登錄編輯器來加以修改屬性內容即可,例如獨立CA預設上的憑證有效年限只有一年,這對於許多公司而言造成不便,可能需要經常展期或重新申請憑證,所以若希望預設憑證的有效年限為二年或三年,則您可以在獨立CA伺服器上,啟動登錄編輯器(regedit),並找到下面的登錄機碼: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname>
並變更下列二個登錄值

1. ValidityPeriod   REG_SZ       (日,周,月或年)

2. ValidityPeriodUnits   REG_DWORD      (1,2,3……)

然後再重新啟動憑證服務。

standaloneca1

而企業CA乃是透過憑證範本的方式來發行憑證,企業 CA 所發行的憑證,有效期間是編寫在建立憑證所使用的範本上,所以若需要更改任何憑證屬性內容,經常需要先複製預設的範本成為新範本後,再修改新範本屬性,然後新增此新的範本。若要變更企業CA的有效使用年限,除了可能需要複製、修改並新增範本外,還需要如同上述獨立CA一般,變更登錄組態,例如若要變更企業CA的使用者憑的有效期限為三,則您需要複製使用者範本成為新範本後,再變更為三年有效年限,不過由於企業CA的 ValidityPeriodUnits登錄值為二,所以您還得要變更此值為三才行。

  1. 由【憑證範本主控台】中,針對想要變更有效期限的範本,選擇【複製】選項。
    entca1
  2. 選擇範本版本,接受預設值即可。
    entca2
  3. 在【一般】設定頁下,輸入憑證範本名稱,並更改想要的有效期間。
    entca3
  4. 必要時,您可以利用【替代範本】設定頁設定取代原有的範本。
  5. 最後,在【憑證授權單位】主控台上,新增此新複製而來的範本 (若有必要,亦可移除原來的範本)。
    entca5