CA 証明書マネージャーの承認とValid の既存の証明書オプションが有効になっている証明書の自動登録を構成しているとします。 自動登録の有効期間と更新期間を設定する場合、証明機関 (CA) 証明書マネージャーの承認は、最初の証明書の自動登録にのみ必要です。 ただし、このシナリオでは、結果として生じる証明書の更新にも CA 証明書マネージャーの承認が必要です。
Note
有効期間と更新期間を特定するには、 certutil -dstemplate <CertificateTemplateName> コマンドレットを使用し、 pKIExpirationPeriod (有効期間) と pKIOverlapPeriod (更新期間) を検索します。
証明書の自動登録は 8 時間ごとに実行されます。 証明書テンプレートでサポートされていない有効期間と更新期間の値が構成されている場合、証明書の更新はスキップされ、クライアントは更新ではなく新しい登録要求をトリガーし、CA 証明書マネージャーの承認を求めます。
有効期間と更新期間の推奨値
更新するには、証明書が有効期間の 80% を完了し、更新期間内である必要があります。 たとえば、1 年間有効な証明書は、約 41.5 週間で 80% のマークに達します。 証明書の更新期間が 6 週間の場合は、46 週目に更新されます。
通常の更新動作では、更新期間を 8 時間以上、有効期間の 20% 未満に設定します。
Note
証明書の更新の実行は、証明書の有効期間の最初の 80% の間にスキップされ、最後の 20% でトリガーされます。
この問題は、任意の種類の証明書の更新で発生する可能性があります。