Zertifikate einer Microsoft PKI (AD CS) haben standardmäßig eine maximale Gültigkeit von 2 Jahren. Selbst wenn ein Template eine höhere Gültigkeitsdauer vorsieht, können keine Zertifikate mit mehr als 2 Jahren ausgestellt werden. Das betrifft auch das Zertifikat einer untergeordneten Zertifikatsstelle (Subordinate CA). Wie man das ändert, erklärt dieser Beitrag.
Die Konfiguration der Zertifikatsstelle (CA) ist in der Registry (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration) gespeichert. Mit certutil.exe greift man darauf zu und kann Änderungen vornehmen.
Anzeigen der Dauer:
PS C:\> certutil.exe /getreg ca\validity* Values: ValidityPeriod REG_SZ = Years ValidityPeriodUnits REG_DWORD = 2
Um die Dauer zu ändern, verwendet man den Schalter SetReg und übergibt die entsprechenden Werte. Setzen der Gültigkeit von 10 Jahren:
PS C:\> certutil.exe /setreg ca\ValidityPeriod "Years" PS C:\> certutil.exe /setreg ca\ValidityPeriodUnits "10"
Die CA muss neugestartet werden, um die Änderungen zu aktivieren.
PS C:\> Restart-Service CertSvc
Nun kann man Zertifikate mit der neuen maximalen Gültigkeitsdauer ausstellen.
0 Kommentare