狀況
如果您更新 Windows 權限管理服務叢集 (RMS) 的伺服器授權人憑證 (SLC),您可能會發現新的 SLC 的到期日超出 2032 年。以前,由 Microsoft 的 Windows 權限管理服務叢集所發出的 SLCs 必須為一年的工期,而且必須更新每年。
原因
Windows Server 2003 或 Windows Server 2003 R2 為基礎的 Windows 權限管理服務叢集會使用根憑證 (也稱為伺服器授權人憑證或 SLC) 所發出的服務,由 Microsoft 裝載。最初,這些憑證已發出包含一年週期,這表示,他們必須更新每年的 RMS 叢集,可以繼續工作。
Windows Server 2003 的支援生命週期是設定成在年 7 月 2015,所以 Microsoft 變更所發出的 Windows 權限管理服務時間為 7150 的天的 SLCs 的存留期。此項變更的目的是為了讓 Windows 權限管理服務伺服器和後曾經發給 SLCs 服務已退役的 Windows Server 2003 支援結束後仍然保持正常的叢集。
這項變更不會影響在 Windows Server 2003 平台上執行的 Windows 權限管理服務叢集的支援性狀態。升級至 Active Directory Rights Management Services (AD RMS) 或 Microsoft Azure 資訊保護 (之前稱為 「 Azure 版權管理 」),Windows Server 2003 支持度結束前,建議使用 Windows RMS 叢集,根據 Windows Server 2003 的客戶。
在 Windows Server 2008,Windows Server 2008 R2 或 Windows Server 2012 上執行的 Active Directory Rights Management Services 叢集不會受到這項變更。AD RMS 叢集執行這些平台使用一個 SLC 具有 256 年的週期,並不需要提供或由 Microsoft 的更新。
解決方案
如果您已經收到新的 SLC 工期為 7150 的天與您不需要採取的動作。這個憑證有效,且它應該不需要再次更新。
如果您還沒有尚未收到一個 SLC,您應該儘速,更新的 7150 天的工期,即使存在的憑證是否在其有效期限內。這樣可以讓您從 Microsoft 主控的註冊服務,獨立運作的伺服器,就會避免您現有的憑證鏈結的任何憑證到期問題。
若要更新您的 Windows RMS 憑證請參閱來更新伺服器授權人憑證Microsoft TechNet。
更多的資訊
進行這項變更,Microsoft 也更新中繼憑證的憑證鏈結中讓它們不會過期短期來看,它可讓 Windows 權限管理服務叢集來繼續運作直到產品的支援性生命週期的結束為止。
如需 Windows Server 2003 的支持度生命週期的相關資訊,請參閱Microsoft 支援生命週期。
警告︰ 此更新可讓您的 Windows 權限管理服務,繼續運作直到 Windows Server 2003 的支援生命週期,結束為止,但是在 Windows Server 2003 中使用的憑證中的 RSA 金鑰是限制為 1024 位元。國家標準與技術研究院 (NIST) 與 RSA,此憑證長度不建議使用。目前,建議您至少要有 2048 位元的金鑰。在 Windows Server 2008 R2 或 Windows Server 2012 除了 Azure 資訊保護上執行的 AD RMS 支援 2048 位元長度的 RSA 金鑰。
如需有關 RSA 金鑰長度的建議事項的詳細資訊,請參閱螺旋和 RSA 金鑰大小。
