Parece que a configuração de validade do vertificate no modelo de certificado excede a validade estimada do certificado de CA.
A segunda coisa é que o comando certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
é incorreto e perigoso. O Microsoft ADCS tem a SAN ativada por padrão. Qualquer solicitação válida de certificado com extensão SAN incorporada resultará em certificado com extensão SAN. Esse sinalizador permite passar a extensão da SAN como atributo não autenticado (não incorporado no CSR) e a CA não valida o valor da SAN. Como resultado, qualquer usuário pode obter certificado com extensão SAN arbitrária. E até mesmo representar administradores de domínio. É por isso que EDITF_ATTRIBUTESUBJECTALTNAME2
flag DEVE ESTAR DESATIVADO .
Existem duas opções:
- reduza a configuração de validade no modelo de certificado para não exceder a validade estimada do certificado de CA (por exemplo, defina-o para 1 ano).
- renova o certificado da CA para torná-lo válido por um período mais longo.
Gostaria de sugerir a opção 2, porque você enfrentará mais problemas nos próximos 6 meses e será forçado a renovar o certificado de CA. Há muitos artigos na Internet que sugerem a renovação do certificado da CA pela reutilização de pares de chaves existentes. Essa solução é menos dolorosa, mas pode aumentar os problemas de validação da cadeia. Toda vez que você renova um certificado de CA, você deve gerar um novo par de chaves.