Именование центров сертификации

Перед настройкой центров сертификации в своей организации необходимо определить для центров сертификации соглашение об именах.

Длина имен центров сертификации не может превышать 64 символа. Для создания имени можно использовать любой символ Юникода, но в том случае, если важна возможность совместимости, может понадобиться ограничиться набором символов ANSI. Например, определенные типы маршрутизаторов не смогут использовать службу регистрации сетевых устройств, чтобы регистрировать сертификаты, если имя центра сертификации содержит специальные символы, например символ подчеркивания.

	Важно!
	При использовании символов, не входящих в латинский алфавит (таких как символы кириллицы, арабского или китайского языков) длина имени центра сертификации должна быть меньше 64 символов. Если используются только символы, не входящие в латинский алфавит, длина имени центра сертификации не должна превышать 37 символов.

В службе AD DS (Active Directory Domain Services) имя, заданное при настройке сервера как центра сертификации, становится общим именем центра сертификации, и это имя отражается в каждом сертификате, выдаваемом центром сертификации. По этой причине важно не использовать полное доменное имя в качестве общего имени центра сертификации. В этом случае пользователи-злоумышленники, получившие копию сертификата, не смогут идентифицировать и использовать полное доменное имя центра сертификации для создания возможной уязвимости безопасности.

Имя центра сертификации не обязано совпадать с именем компьютера. Но после установки службы AD CS нельзя изменить имя сервера без признания недействительными всех сертификатов, выданных центром сертификации.

Чтобы изменить имя сервера после установки службы AD CS, необходимо удалить центр сертификации, изменить имя сервера, переустановить центр сертификации и заново выдать все сертификаты,

При переименовании домена переустанавливать центр сертификации не требуется, но понадобится перенастроить этот центр сертификации для поддержки изменения имени.