症状
如果续订 Windows 权限管理服务群集 (RMS) 的服务器许可方证书 (SLC) 您可能会注意到新的 SLC 的到期日期超出 2032 年。以前,Slc 由 Microsoft 的 Windows 权限管理服务群集颁发的持续时间为一年,他们不得不每年续订。
原因
基于 Windows Server 2003 或 Windows Server 2003 R2 的 Windows 权限管理服务群集使用由 Microsoft 托管服务颁发的根证书 (也称为服务器许可方证书或 SLC)。起初,与一年使用期限,这意味着他们必须要更新的 RMS 群集继续工作每年颁发这些证书。
Windows Server 2003 技术支持生命周期设置为在 7 月 2015年过期,因此 Microsoft 改变了 Slc 为 7150 天颁发的 Windows 权限管理服务的生命周期。进行此更改是允许 Windows 权限管理服务服务器和群集继续工作后用于颁发 Slc 的服务 Windows Server 2003 的支持结束后退役。
此更改不会影响 Windows Server 2003 平台上运行的 Windows 权限管理服务群集的可支持性状态。建议客户使用基于 Windows Server 2003 的 Windows RMS 群集升级到 Active Directory Rights Management Services (AD RMS) 或 Microsoft Azure 信息保护 (以前称为 Azure 权限管理),Windows Server 2003 支持结束之前。
Active Directory Rights Management Services 群集运行在 Windows Server 2008,Windows Server 2008 R2 或 Windows Server 2012 不受此更改的影响。AD RMS 群集运行在这些平台使用 SLC 具有 256 年的寿命,它不需要资源调配或由 Microsoft 的续订。
解决方案
如果您已经收到一个持续时间为 7150 天新 SLC 您不需要采取行动。此证书有效,它应该不需要重新续订。
如果还没有接收到 7150 天的工期与 SLC 应续订它越早越好,即使存在的证书在其有效使用期限内。这将使服务器能够独立操作从 Microsoft 托管注册服务,以及它将避免您现有的证书链中的任何证书过期问题。
要续订您对 Windows RMS 证书请参阅续订服务器许可方证书到Microsoft TechNet 上。
详细信息
进行此更改后,Microsoft 还续订证书链中的中间证书以便不在短期内,允许 Windows 权限管理服务群集继续运行该产品支持生命周期结束时才到期。
有关 Windows Server 2003 的支持生命周期的详细信息,请参阅Microsoft 技术支持生命周期。
警告︰ 此更新允许继续运行 Windows Server 2003 技术支持生命周期,直到您 Windows 权限管理服务,但却限制为 1024 位 RSA 密钥中使用 Windows Server 2003 中的证书。根据国家标准和技术协会 (NIST) 和 RSA,不再建议使用该证书的长度。目前,建议至少 2048 位的密钥。在运行 Windows Server 2008 R2 上除了 Azure 信息保护 Windows Server 2012 的 AD RMS 支持长度 2048 位的 RSA 密钥。
RSA 密钥长度建议的其他信息,请参阅旋转扭曲和 RSA 密钥大小。
