如何設定企業從屬 CA,使憑證有效期限超過父 CA

本文說明如何設定企業從屬憑證授權單位單位 (CA) 與父 CA 的憑證有效期限不同。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   281557

摘要

您可以使用下列步驟,為下級 CA 提供與父 CA 不同的憑證驗證期限。 此處理程式分為下列三個步驟:

步驟1:設定父 CA 上的驗證期間。 步驟2:安裝從屬 CA。 步驟3:將驗證時間設回父 CA。

  1. 在上層 CA 上設定驗證期間。 若要這麼做,請使用下列命令,在將發出從屬 CA 之憑證的父 CA 上,設定所需的驗證期限:

    certutil -setreg ca\ValidityPeriod "Weeks" 
    certutil -setreg ca\ValidityPeriodUnits "3" 
    
  2. 安裝從屬 CA。 請務必使用您在步驟1中使用的父 CA。

  3. 在簽發從屬 (CA 之憑證的父 CA 上重設驗證期間(例如,"2 年"),這是預設值) 。 若要這麼做,請使用下列命令:

    certutil -setreg ca\ValidityPeriod "Years" 
    certutil -setreg ca\ValidityPeriodUnits "2"
    

    注意

    如果您 certutil -getreg ca\val* 在從屬 ca 上執行,則 ValidityPeriod 屬性和 ValidityPeriodUnits 屬性仍然會與父 CA 同步處理,即使從屬 ca 憑證只會在三周內有效。