Я как раз работаю над созданием двухуровневой PKI и удивляюсь, почему так много руководств создают такой capolicy.inf
[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID= 1.2.3.4.1455.67.89.5
URL=http://pki.bedrock.domain/pki/cps.html
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=20
CRLPeriod=Years
CRLPeriodUnits=20
CRLDeltaPeriod=Days
CRLDeltaPeriodUnits=0
LoadDefaultTemplates=0
и позже запускает такой командлет
Install-AdcsCertificationAuthority -CAType StandaloneRootCA -CACommonName "Bedrock Root Certificate Authority" -KeyLength 4096 -HashAlgorithm SHA256 -CryptoProviderName "RSA#Microsoft Software Key Storage Provider" -ValidityPeriod Years -ValidityPeriodUnits 20 -Force
Я не очень разбираюсь в CA, но, похоже, мы удваиваем работу, как здесь:
CRLPeriod=Years
CRLPeriodUnits=20
И здесь
-ValidityPeriod Years -ValidityPeriodUnits 20
мы настраиваем одно и то же.
Пример: https://timothygruber.com/pki/deploy-a-pki-on-windows-server-2016-part-3/
И это касается не только этого руководства, но и многих других. Должно быть, есть что-то, чего я не понимаю, буду признателен, если кто-то сможет объяснить.
решение1
Думаю, я нашел ответ, это не одно и то же: