Dez 112012
 
  • Betrifft: Microsoft Zertifizierungsstelle (Active Directory-Zertifikatdienste)
  • System: Microsoft Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
  • Problem: Trotz Anpassung der GĂĽltigkeitsdauer sind die ausgestellten Zertifikate maximal 2 Jahre alt. Die Zertifizierungsstelle wird auf einer Windows Server Enterprise Edition ausgefĂĽhrt. Die abgeänderten Zertifikate werden mit einer GĂĽltigkeit von maximal 2 Jahre ausgestellt.

 

Hintergrund

Nach der Installation der Microsoft Zertifizierungsstelle kann man ab der Enterprise Edition von Windows Server eigene Zertifikatsvorlagen erstellen und verwenden. Hierbei kann man ebenso eine höhere Gültigkeitsdauer vergeben.

ms_ca_certificate_validity_time

Nach der Freigabe der neuen Vorlage und einer erfolgreichen Anforderung erhält man leider nur ein Zertifikat mit einer maximalen Gültigkeit von 2 Jahren. Selbst bei der Auswahl von 20 Jahren bleibt es lediglich bei 2 Jahren.

 

Nun wie so oft bei Microsoft, so auch hier: der Wert wird über eine zusätzliche Variabel in der Registrierung begrenzt. Dieser Wert liegt nach der Installation bei 2 Jahren. Höhere Werte gehen nicht. Im Übrigen gibt es noch einen weitere Begrenzung. Das auszustellende Zertifikat darf auch nicht länger gültig sein als das der Zertifizierungsstelle.

 

Behebung

Zum GlĂĽck gibt es ein entsprechendes Tool, das bei jeder Installation dabei ist. Somit erspart man sich den Weg ĂĽber die Registrierung. Somit die Windows Kommandozeile (= "cmd") aufrufen und folgenden Befehl eingeben:

ms_ca_certutil

certutil -setreg ca\ValidityPeriodUnits "XY"

XY = ist ein numerischer Wert, der die Jahre wiederspiegelt. Der Wert "50" steht fĂĽr 32 Jahre. Mit "99" ist das Maximum erreicht.

 

Nach dem AusfĂĽhren des Befehls muss der entsprechende Dienst neu gestartet werden.

ms_ca_restart

net stop certsvc
net start certsvc

 

Weitere interessante Befehle in diesem Zusammenhang:

GĂĽltigkeitseinheit anzeigen:

certutil -getreg ca\ValidityPeriod

GĂĽltigkeitsdauer auslesen:

certutil -getreg ca\ValidityPeriodUnits

weitere relevante Beiträge...

  Eine Antwort zu “Active Directory-Zertifikatdienste: Zertifikate mit einer Gültigkeit von mehr als 2 Jahren”

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(erforderlich)

(erforderlich)