假设你正在配置启用了 CA 证书管理器审批 和 有效现有证书选项的证书 自动注册。 为自动注册设置有效期和续订期时,证书颁发机构(CA)证书管理器批准仅需要初始证书自动注册。 但是,在此方案中,因此证书续订还需要 CA 证书管理器批准。
注意
若要标识有效期和续订期,请使用 certutil -dstemplate <CertificateTemplateName> cmdlet,然后搜索 pKIExpirationPeriod (有效期)和 pKIOverlapPeriod (续订期)。
证书自动注册每 8 小时运行一次。 当证书模板中配置了无效和续订期不受支持的值时,会跳过证书续订,客户端会触发新的注册请求而不是续订,然后提示 CA 证书管理器批准。
有效期和续订期的建议值
若要续订,证书应已完成其有效期的 80%,且在续订期内。 例如,有效期为一年的证书在 41.5 周左右达到 80% 的标记。 如果证书的续订期为 6 周,则会在第 46 周期间续订。
对于正常续订行为,请将续订期设置为超过 8 小时且有效期不到 20%。
注意
证书续订的执行将在证书有效期的前 80% 期间跳过,并在最后 20% 触发。
此问题可能发生在任何类型的证书续订中。