none
自行發行的憑證過期,該如何更新? RRS feed

  • 問題

  • os :server 2003 ,使用IIS。公司的內部網站是採用自訂憑證。
    想了解一下一般的作法。第一次發行的憑證,有效期間是一年,今再更新一次,有效期間仍為一年,不是說第二次申請的有效期限可以到五年,不知是如何辦到的呢?

    再者,server的憑證尚未過期,只是預先作準備,一旦網站的憑證更新,client端的憑證即將發生錯誤,如此一來,不就跟過期發生錯誤是相同的意思。
    不知可有緩衝期?  因為不論過期或未過期,更新憑證後, USER進入即會有錯呢!!
    • 已移動 Lolota Lee 2010年2月2日 上午 09:33 (從:ASP.NET 與 AJAX(ASP.NET and AJAX))
    2010年2月2日 上午 09:16

解答

  • os :server 2003 ,使用IIS。公司的內部網站是採用自訂憑證。
    想了解一下一般的作法。第一次發行的憑證,有效期間是一年,今再更新一次,有效期間仍為一年,不是說第二次申請的有效期限可以到五年,不知是如何辦到的呢?

    再者,server的憑證尚未過期,只是預先作準備,一旦網站的憑證更新,client端的憑證即將發生錯誤,如此一來,不就跟過期發生錯誤是相同的意思。
    不知可有緩衝期?  因為不論過期或未過期,更新憑證後, USER進入即會有錯呢!!

    憑證發行的有效期間是透過憑證範本(Enterprise CA才有) & 機碼去設定的 , 沒有改的話就是用預設的年限 , 不會自己增加

    如果你要修改的話可以參考下面第一個KB去做

    1.How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
    http://support.microsoft.com/kb/254632/en-us

    2.Extending Root CA Certificate lifetime (裡面的第三點也是)
    http://blogs.technet.com/csstwplatform/archive/2009/08/24/extending-root-ca-certificate-lifetime.aspx

    PS:假如憑證範本期限是1年 , 機碼設定其限是1個禮拜 , 那發出去的憑證期限會是只有1個禮拜 (取最小的)


    而Server端的SSL憑證過期的話,User開啟該網站時會出現憑證有問題的警告視窗,只要去更新Server端的憑證就可以了(除非有設定要驗證Client端的憑證)
    Client端只要有安裝Root CA憑證到信任的根憑證裡面就OK了 (只要是AD環境的話,加入Domain的機器會自動做此動作)


    Thanks

    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年2月4日 上午 01:52
    • 已標示為解答 Vincent Lin 2010年2月6日 下午 03:44
    2010年2月3日 上午 07:30

所有回覆

  • os :server 2003 ,使用IIS。公司的內部網站是採用自訂憑證。
    想了解一下一般的作法。第一次發行的憑證,有效期間是一年,今再更新一次,有效期間仍為一年,不是說第二次申請的有效期限可以到五年,不知是如何辦到的呢?

    再者,server的憑證尚未過期,只是預先作準備,一旦網站的憑證更新,client端的憑證即將發生錯誤,如此一來,不就跟過期發生錯誤是相同的意思。
    不知可有緩衝期?  因為不論過期或未過期,更新憑證後, USER進入即會有錯呢!!
    Dear Karen,
    您是要更新IIS SSL 憑証是嗎? IIS的憑証就要換上去就會生效,只是client也要有相同的憑証.

    1.這裡有類似的範例供參考:http://blogs.technet.com/sbs/archive/2008/05/08/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista.aspx

    2.可用Group policy將憑証佈置給每位User.:
    A couple of notes for more advanced users:
    (1) You can create a group policy object and import this certificate into "Computer Settings\Windows Settings\Security Settings\Public Key Policies\Trusted Root Certification Authorities".  Link the GPO at the domain level to have it apply to all computers in the organization.
    (2) You can set up a certification authority on your SBS server, deploy the CA certificate via GPO as described above, and re-sign your web site certificate with the CA.  Installing Certificate Services is somewhat complicated, but it can be convenient to centralize (and mostly automate) the process of issuing and revoking certificates.
    One of these days, I'll write up a short how-to on CA deployment on Windows SBS 2003 R2.
    Matthew
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年2月2日 上午 09:51
  • os :server 2003 ,使用IIS。公司的內部網站是採用自訂憑證。
    想了解一下一般的作法。第一次發行的憑證,有效期間是一年,今再更新一次,有效期間仍為一年,不是說第二次申請的有效期限可以到五年,不知是如何辦到的呢?

    再者,server的憑證尚未過期,只是預先作準備,一旦網站的憑證更新,client端的憑證即將發生錯誤,如此一來,不就跟過期發生錯誤是相同的意思。
    不知可有緩衝期?  因為不論過期或未過期,更新憑證後, USER進入即會有錯呢!!

    憑證發行的有效期間是透過憑證範本(Enterprise CA才有) & 機碼去設定的 , 沒有改的話就是用預設的年限 , 不會自己增加

    如果你要修改的話可以參考下面第一個KB去做

    1.How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
    http://support.microsoft.com/kb/254632/en-us

    2.Extending Root CA Certificate lifetime (裡面的第三點也是)
    http://blogs.technet.com/csstwplatform/archive/2009/08/24/extending-root-ca-certificate-lifetime.aspx

    PS:假如憑證範本期限是1年 , 機碼設定其限是1個禮拜 , 那發出去的憑證期限會是只有1個禮拜 (取最小的)


    而Server端的SSL憑證過期的話,User開啟該網站時會出現憑證有問題的警告視窗,只要去更新Server端的憑證就可以了(除非有設定要驗證Client端的憑證)
    Client端只要有安裝Root CA憑證到信任的根憑證裡面就OK了 (只要是AD環境的話,加入Domain的機器會自動做此動作)


    Thanks

    不管問題有沒有解決..麻煩都回來回報一下..對回答者也算是一種尊重:)
    微軟技術支援網站
    • 已提議為解答 Vincent Lin 2010年2月4日 上午 01:52
    • 已標示為解答 Vincent Lin 2010年2月6日 下午 03:44
    2010年2月3日 上午 07:30