CA证书过期

CA证书问题请教!最近在客户这里做Exchange2010及RMS项目，对当前Ca证书颁发机构的环境做了下勘察和调研，发现有些地方出现警号显示过期，不知道会不会影响Exchange和Adrms的集成部署，特此求教！

Ca情况如下图：（这个CDP位置过期会不会影响我项目的项目，如果影响，有什么解决方案吗？）

回答： 根据您的描述我了解到您有关于CA的问题需要和我们一起讨论。

根据您提供的信息，我发现CDP位置#1在2013/01/24日会过期。关于CDP位置，它显示的是可以下载最新的CRL的位置。一般它会显示即将过期是因为CRL即将过期，从截图来看，DeltaCRL 位置#1确实是在2013/01/24日会过期。

我们都知道CRL包含的是撤销的证书的信息，如果这个过期的话，会有一些安全隐患，比如说某张证书过期了，由于CRL没有更新，这张证书还会被继续使用，从而有可能造成信息泄露。如果您的Exchange和Adrms会用到即将过期的证书，那么部署可能就会有问题。

为了解决这个问题，请您进行以下操作：您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/

1. 将Root CA启动，使其处于online状态，这样的话，正常情况下CRL会自动更新的。
2. 如果CRL没有自动更新。如果CRL没有自动更新，也就是说到了2013/01/24 4:04的时候，CDP位置#1和DeltaCRL 位置#1都过期了，我们可以手动将CRL更新。具体操作如下：
   • 在root CA上面运行命令去更新CRL：Certutil –CRL。
   • 这样的话新的CRL会被发布，文件默认保存在：C:\Windows\System32\CertSrv\CertEnroll目录，文件名字类似：RootCaName.Crl。
   • 将此CRL文件复制到issuing CA，也就是您发现问题的这台服务器上的相同目录C:\Windows\System32\CertSrv\CertEnroll。
   • 然后运行以下命令将信息发布到AD：Certutil -dspublish RootCaName.Crl。
   • 然后重启证书服务看问题是否得到解决。

一般情况下我们在企业PKI有三层，root CA, policy CA和issuing CA，root CA配置好之后出于安全的角度，我们是推荐将它offline的。当然您也可以只有两层结构root CA和issuing CA，一层结构root CA（同时也是issuing CA）。以下文档供您参考：

Designing and Implementing a PKI: Part I Design and Planning

http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx

目前我不清楚您的环境中具体部署是什么样的，如果当前这台服务器不是root CA，那么我建议您将root CA服务器启动，我们说的启动指的是将电脑启动使其处于运行状态。
Darlene Li