設定組織的憑證授權單位 (CA) 之前,您應先建立 CA 命名慣例。
CA 的名稱長度不得超過 64 個字元。您可以使用任何 Unicode 字元來建立名稱,但若考慮到交互操作性,可以使用 ANSI 字元集。例如,如果 CA 名稱包含特殊字元 (例如底線),則某些類型的路由器將無法使用網路裝置註冊服務註冊憑證。
 | 重要 |
|
如果使用非拉丁字元 (例如,斯拉夫文、阿拉伯文或中文字元),則您的 CA 名稱必須少於 64 個字元。如果只使用非拉丁字元,則您的 CA 名稱長度不得超過 37 個字元。 |
在 Active Directory 網域服務 (AD DS) 中,您在將伺服器設定為 CA 時所指定的名稱會成為 CA 的一般名稱,而此名稱會反映於 CA 發行的每個憑證。基於這個理由,請勿在 CA 的一般名稱使用完整網域名稱。如此一來,取得憑證複本的惡意使用者便無法識別並使用 CA 的完整網域名稱,建立潛在的安全性弱點。
CA 名稱不一定要與電腦名稱相同。不過,您不能在安裝 Active Directory 憑證服務 (AD CS) 後變更伺服器名稱,否則 CA 發行的所有憑證都會無效。
若要在安裝 AD CS 之後變更伺服器名稱,您必須解除安裝 CA、變更伺服器名稱、重新安裝 CA,然後重新發行該 CA 發行的所有憑證。
重新命名網域不需要重新安裝 CA,但您必須重新設定 CA,以支援名稱變更。
其他參考資料
- 安裝根憑證授權單位
- 在 Windows Server 2008 中管理 Active Directory 網域的重新命名 (
https://go.microsoft.com/fwlink/?LinkId=143938 (可能為英文網頁) ) - Windows Server 2003 Active Directory 網域重新命名工具 (
https://go.microsoft.com/fwlink/?LinkId=91448 (可能為英文網頁) )。