Dez 112012
 
  • Betrifft: Microsoft Zertifizierungsstelle (Active Directory-Zertifikatdienste)
  • System: Microsoft Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
  • Problem: Trotz Anpassung der Gültigkeitsdauer sind die ausgestellten Zertifikate maximal 2 Jahre alt. Die Zertifizierungsstelle wird auf einer Windows Server Enterprise Edition ausgeführt. Die abgeänderten Zertifikate werden mit einer Gültigkeit von maximal 2 Jahre ausgestellt.

 

Hintergrund

Nach der Installation der Microsoft Zertifizierungsstelle kann man ab der Enterprise Edition von Windows Server eigene Zertifikatsvorlagen erstellen und verwenden. Hierbei kann man ebenso eine höhere Gültigkeitsdauer vergeben.

ms_ca_certificate_validity_time

Nach der Freigabe der neuen Vorlage und einer erfolgreichen Anforderung erhält man leider nur ein Zertifikat mit einer maximalen Gültigkeit von 2 Jahren. Selbst bei der Auswahl von 20 Jahren bleibt es lediglich bei 2 Jahren.

 

Nun wie so oft bei Microsoft, so auch hier: der Wert wird über eine zusätzliche Variabel in der Registrierung begrenzt. Dieser Wert liegt nach der Installation bei 2 Jahren. Höhere Werte gehen nicht. Im Übrigen gibt es noch einen weitere Begrenzung. Das auszustellende Zertifikat darf auch nicht länger gültig sein als das der Zertifizierungsstelle.

 

Behebung

Zum Glück gibt es ein entsprechendes Tool, das bei jeder Installation dabei ist. Somit erspart man sich den Weg über die Registrierung. Somit die Windows Kommandozeile (= "cmd") aufrufen und folgenden Befehl eingeben:

ms_ca_certutil

certutil -setreg ca\ValidityPeriodUnits "XY"

XY = ist ein numerischer Wert, der die Jahre wiederspiegelt. Der Wert "50" steht für 32 Jahre. Mit "99" ist das Maximum erreicht.

 

Nach dem Ausführen des Befehls muss der entsprechende Dienst neu gestartet werden.

ms_ca_restart

net stop certsvc
net start certsvc

 

Weitere interessante Befehle in diesem Zusammenhang:

Gültigkeitseinheit anzeigen:

certutil -getreg ca\ValidityPeriod

Gültigkeitsdauer auslesen:

certutil -getreg ca\ValidityPeriodUnits

weitere relevante Beiträge...

  Eine Antwort zu “Active Directory-Zertifikatdienste: Zertifikate mit einer Gültigkeit von mehr als 2 Jahren”

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(erforderlich)

(erforderlich)