要求和例外
该部分确定您需要符合哪些要求,才能选择使用自有 CA 来生成新的颁发机构证书。
您不能适用服务器 SSL 证书(例如通配符证书)作为子颁发机构证书。
新子颁发机构证书的要求
发行证书时
- 必须包含基本限制扩展名
- 必须包含 KeyCertSign 和 CrlSign 密钥使用扩展名
- 必须使用 DER ASN.1
- 必须为每个控制台服务器颁发单独的证书 - 无法一对多地将单个证书颁发给多个控制台服务器
扩展名指明该证书能够发布其他证书。 您可以选择将路径长度指定为 0(表示该证书无法用于创建发行证书)。 有关详细信息,请参阅 RFC 5280。
在控制台计算机上安装证书时
- 必须具有关联的私钥
- 必须位于计算机帐户的中间认证授权机构证书存储中
例外
当配置您的环境搭配使用第三方 CA 时,控制台将不再更新过期根证书。 当证书接近其过期日期时,Security Controls 将提供一个警告,但将由本地管理员来通过使用其自己的 CA 手动创建新证书。