Voraussetzungen und Ausnahmen
In diesem Abschnitt wird erläutert, welche Voraussetzungen erfüllt sein müssen, damit Sie Ihre eigene Zertifizierungsstelle zum Generieren eines neuen Zertifikats verwenden können.
Sie können kein Server-SSL-Zertifikat (wie etwa ein Platzhalterzertifikat) als Zertifikat der untergeordneten Zertifizierungsstelle verwenden.
Anforderungen an das neue Zertifikat der untergeordneten Zertifizierungsstelle
Beim Ausstellen des Zertifikats
- Muss eine Basiseinschränkungserweiterung haben
- Muss Schlüsselverwendungserweiterungen KeyCertSign und CrlSign haben
- Muss DER ASN.1 verwenden
- Für jeden Konsolenserver muss ein eigenes Zertifikat ausgestellt werden. Ein einzelnes Zertifikat kann nicht für mehrere Konsolenserver verwendet werden.
Die Erweiterung gibt an, dass das Zertifikat in der Lage ist, andere Zertifikate auszustellen. Sie können die Parameterlänge auf 0 setzen (das bedeutet, dass das Zertifikat nicht zum Erstellen eines ausstellenden Zertifikats verwendet werden kann). Weitere Informationen finden Sie unter RFC 5280.
Beim Installieren des Zertifikats auf dem Konsolencomputer
- Muss einen verknüpften privaten Schlüssel auf dem Konsolencomputer haben
- Muss sich im Zertifikatspeicher für Zwischenzertifizierungsstellen des Computerkontos auf dem Konsolencomputer befinden
Ausnahmen
Wenn Sie Ihre Umgebung für die Verwendung einer externen Zertifizierungsstelle konfigurieren, wird das Stammzertifikat bei Ablauf nicht mehr automatisch von der Konsole aktualisiert. Security Controls gibt eine Warnmeldung aus, wenn das Ablaufdatum des Zertifikats bevorsteht. Es liegt jedoch im Ermessen des lokalen Administrators, unter Verwendung der eigenen Zertifizierungsstelle manuell ein neues Zertifikat zu erstellen.