Approvazione necessaria per i rinnovi dei certificati quando la registrazione automatica del certificato è configurata

Si supponga di configurare una registrazione automatica del certificato con l'approvazione della CA certificate manager e le opzioni Valide per i certificati esistenti abilitate. Quando si imposta un periodo di validità e un periodo di rinnovo per la registrazione automatica, l'approvazione del gestore certificati dell'autorità di certificazione (CA) è necessaria solo per la registrazione automatica del certificato iniziale. In questo scenario, tuttavia, anche i successivi rinnovi dei certificati richiedono l'approvazione del gestore certificati DELLA CA.

Note

Per identificare il periodo di validità e il periodo di rinnovo, usare il certutil -dstemplate <CertificateTemplateName> cmdlet e cercare pKIExpirationPeriod (il periodo di validità) e pKIOverlapPeriod (periodo di rinnovo).

La registrazione automatica dei certificati viene eseguita ogni otto ore. Quando i valori non supportati del periodo di validità e rinnovo vengono configurati in un modello di certificato, il rinnovo del certificato viene ignorato e il client attiva nuove richieste di registrazione anziché i rinnovi, quindi richiede l'approvazione del gestore certificati CA.

Valori consigliati del periodo di validità e del periodo di rinnovo

Per essere rinnovato, un certificato deve aver completato l'80% del periodo di validità e rientrare nel periodo di rinnovo. Ad esempio, un certificato valido per un anno raggiunge il segno dell'80% a circa 41,5 settimane. Se il certificato ha un periodo di rinnovo di sei settimane, verrà rinnovato durante il periodo della 46a settimana.

Per i comportamenti di rinnovo normali, impostare il periodo di rinnovo su più di 8 ore e meno del 20% del periodo di validità.

Note

L'esecuzione del rinnovo del certificato verrà ignorata durante il primo 80% del periodo di validità del certificato e attivata nell'ultimo 20%.

Questo problema può verificarsi con qualsiasi tipo di rinnovo del certificato.