本文介绍了如何更改由 Windows Server 2003 或 Windows 2000 Server 证书颁发机构 (CA) 签发的证书的有效期限。
默认情况下,独立证书颁发机构 CA 签发的证书的有效期是一年。一年之后证书即过期,其使用将不再受信任。但在某些情况下,您可能必须要覆盖由中介或发证 CA 所签发的证书的默认终止日期。
注册表中定义的有效期限会影响所有由独立 CA 和企业 CA 签发的证书。对于企业 CA,默认注册表设置为两年。对于独立的 CA,默认注册表设置为一年。对于由独立 CA 签发的证书,其有效期限由本文稍后介绍的注册表项确定。该值适用于所有 CA 签发的证书。
对于企业 CA 签发的证书,其有效期限硬编码在用来创建证书的模板中。Windows 2000 和 Windows Server 2003 不支持对这些模板的修改。模板有效期限适用于所有由企业 CA 签发的证书。对于从属 CA 证书模板不存在例外。由 CA 签发的证书的有效期为下列时间段中的最短者:
- 本文前面提到的注册表中定义的有效期。
- 模板定义的有效期。这只适用于企业 CA。
- CA 证书的终止日期。
注意:“请求属性”名由伴随此请求并指定有效期限的值字串符对构成。默认情况下,它只能通过针对独立 CA 的注册表设置启用。
更改 Windows Server 2003 或 Windows 2000 Server 证书颁发机构所签发证书的终止日期
要更改 CA 的有效期限设置,请按照下列步骤操作:
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
- 单击“开始”,然后单击“运行”。
- 在“打开”框中,键入 regedit,然后单击“确定”。
- 找到并随后单击下面的注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>
- 在右窗格中,双击“ValidityPeriod”。
- 在“数值数据”框中,键入以下时间单位之一,然后单击“确定”:
- Days
- Weeks
- Months
- Years
- 在右窗格中,双击“ValidityPeriodUnits”。
- 在“数值数据”框中,键入您希望的数值,然后单击“确定”。例如,键入 2。
- 停止,然后重新启动“证书服务”服务。为此,请按下列步骤操作:
- 单击“开始”,然后单击“运行”。
- 在“打开”框中,键入 cmd,然后单击“确定”。
- 在命令提示符处,键入下列命令行。在每一行之后按 Enter 键。
net stop certsvc
net start certsvc - 键入 exit 退出命令提示窗口。