要求與例外

本節說明當您選擇使用自己的 CA 產生新的授權單位憑證時,必須符合的要求。

您無法使用伺服器 SSL 憑證 (例如萬用卡憑證) 做為您的子授權單位憑證。

全新子授權單位憑證的要求

發行憑證時

  • 必須有基本限制延伸
  • 副檔名指出憑證能夠發出其他憑證。 您可選擇將路徑長度指定為 0 (表示憑證無法用於建立核發憑證)。 如需詳細資訊,請參閱 RFC 5280

  • 必須有 KeyCertSign 和 CrlSign 金鑰使用延伸
  • 必須使用 DER ASN.1
  • 必須為每部主控台伺服器發行單獨的憑證 - 您無法一對多地為多部主控台伺服器發行單一憑證

在控制台電腦上安裝憑證時

  • 必須有相關的私密金鑰
  • 必須位於電腦帳戶的中繼憑證授權單位憑證存放區

例外

您設定環境使用第三方 CA 時,控制台將不再自動更新即將過期的根憑證。 憑證接近過期日期時,Security Controls 將提供警告,但是本機系統管理員可自行使用本身的 CA 手動建立新的憑證。