none
Срок действия сертиф. будет меньше, чем указанный в шаблоне ...... RRS feed

  • Вопрос

  • Что такое "срок действия регистрации"?

     

    При запросе сертификата выскакивает такое сообщение в оснастке сертификационного центра (в разделе "Запросы в ожидании" столбец "Запрос сообщения распоряжения") и при заборе одобренного сертификата certreq-ом:

     

    C:\Documents and Settings\scream>certreq -retrieve 257
    Код запроса (RequestId): 257
    Получен сертификат(Выдан) Выдан  Срок действия сертификата будет меньше, чем указанный в шаблоне сертификата EFSRecovery потому, что срок действия шаблона больше, чем максимальный допустимый срок для шаблона, разрешенного ЦС.  При продлении сертификата ЦС уменьшите срок действия шаблона или увеличьте срок действия регистрации.
      WDK\scream повторно выдал запрос

     

    При создании других сертификатов из других шаблонов картина та же самая - сроки действия сертификатов меньше, чем указанные в шаблонах. Пробовали на шаблонах EFS DRA и производном от IPSEC (авт. запрос). На первый дало 2 года вместо указанных в шаблоне пяти, на второй - 2 года вместо указанных шести.

     

    что это за "срок действия регистрации" - непонятно.

     

    Структура PKI такая:

    standalone offline root CA - Enterprise issuing CA

    Сроки действия сертификатов нормальные: у рута - 25 лет, у issuing - 10 лет.

    12 июня 2008 г. 12:29

Ответы

  • Сам нашел. Оказывается, у ЦА есть прошитий в реестре срок регистрации. Он то и влияет на максимальный срок, на который выдаются сертификаты.

     

    Сделал

     

    certutil -setreg CA\ValidityPeriodUnits 10
    certutil -setreg CA\ValidityPeriod "Years"

     

    Теперь всё ок.

    17 июня 2008 г. 14:00