Zertifikate einer Microsoft PKI (AD CS) haben standardmäßig eine maximale Gültigkeit von 2 Jahren. Selbst wenn ein Template eine höhere Gültigkeitsdauer vorsieht, können keine Zertifikate mit mehr als 2 Jahren ausgestellt werden. Das betrifft auch das Zertifikat einer untergeordneten Zertifikatsstelle (Subordinate CA). Wie man das ändert, erklärt dieser Beitrag.
Die Konfiguration der Zertifikatsstelle (CA) ist in der Registry (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration) gespeichert. Mit certutil.exe greift man darauf zu und kann Änderungen vornehmen.
Anzeigen der Dauer:
PS C:\> certutil.exe /getreg ca\validity* Values: ValidityPeriod REG_SZ = Years ValidityPeriodUnits REG_DWORD = 2
Um die Dauer zu ändern, verwendet man den Schalter SetReg und übergibt die entsprechenden Werte. Setzen der Gültigkeit von 10 Jahren:
PS C:\> certutil.exe /setreg ca\ValidityPeriod "Years" PS C:\> certutil.exe /setreg ca\ValidityPeriodUnits "10"
Die CA muss neugestartet werden, um die Änderungen zu aktivieren.
PS C:\> Restart-Service CertSvc
Nun kann man Zertifikate mit der neuen maximalen Gültigkeitsdauer ausstellen.
[su_service title=”Weiterführende Informationen”]How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
Renewing a certification authority
Using a custom template for subordinate CAS
AD CS: Step by step guide 2-Tier PKI deployment
[/su_service]
0 Kommentare