要求與例外
本節說明當您選擇使用自己的 CA 產生新的授權單位憑證時,必須符合的要求。
您無法使用伺服器 SSL 憑證 (例如萬用卡憑證) 做為您的子授權單位憑證。
全新子授權單位憑證的要求
發行憑證時
- 必須有基本限制延伸
- 必須有 KeyCertSign 和 CrlSign 金鑰使用延伸
- 必須使用 DER ASN.1
- 必須為每部主控台伺服器發行單獨的憑證 - 您無法一對多地為多部主控台伺服器發行單一憑證
副檔名指出憑證能夠發出其他憑證。 您可選擇將路徑長度指定為 0 (表示憑證無法用於建立核發憑證)。 如需詳細資訊,請參閱 RFC 5280。
在控制台電腦上安裝憑證時
- 必須有相關的私密金鑰
- 必須位於電腦帳戶的中繼憑證授權單位憑證存放區
例外
您設定環境使用第三方 CA 時,控制台將不再自動更新即將過期的根憑證。 憑證接近過期日期時,Security Controls 將提供警告,但是本機系統管理員可自行使用本身的 CA 手動建立新的憑證。