在组织中配置证书颁发机构 (CA) 之前,应建立一个 CA 命名约定。
CA 的名称长度不得超过 64 个字符。可以使用任何 Unicode 字符创建名称,但是如果考虑到互操作性,则需要使用 ANSI 字符集。例如,如果 CA 名称包含特殊字符(如下划线),则某些类型的路由器将无法使用网络设备注册服务来注册证书。
重要 | |
如果使用非拉丁字符(如西里尔字符、阿拉伯字符或中文字符),则 CA 名称中包含的字符必须少于 64 个。如果仅使用非拉丁字符,则 CA 名称的长度不能超过 37 个字符。 |
在 Active Directory 域服务 (AD DS) 中,将服务器配置为 CA 时所指定的名称将成为 CA 的公用名,并且此名称将反映在 CA 颁发的每个证书中。因此,对 CA 的公用名不使用完全限定的域名非常重要。这样,获取证书副本的恶意用户将无法识别和使用 CA 的完全限定域名来制造潜在的安全漏洞。
CA 名称不必与计算机名称相同。但是,如果在没有使 CA 颁发的所有证书失效的情况下安装了 Active Directory 证书服务 (AD CS) 之后,则将无法更改服务器的名称。
若要在安装 AD CS 之后更改服务器名称,则必须卸载 CA,更改服务器的名称,重新安装 CA,然后重新颁发由 CA 颁发的所有证书。
如果重命名域,则不需要重新安装 CA;但是您需要重新配置 CA,才能支持名称更改。
其他参考
- 安装根证书颁发机构
- 在 Windows Server 2008 中管理 Active Directory 域重命名 (
https://go.microsoft.com/fwlink/?LinkId=143938 )(可能为英文网页) - Windows Server 2003 Active Directory 域重命名工具 (
https://go.microsoft.com/fwlink/?LinkId=91448 )(可能为英文网页)