CA Zertifikatsvorlage Gültigkeitsdauer

[Cr4sh 10]

Hallo,

 

leider ignoriert meine CA die Einstellung bei einer Zertifikatsvorlage wieviel Jahre es gültig sein soll. Ich habe eingestellt in der Vorlage das ein solch ausgestelltes Zertifikat 5 Jahre gültig sein soll.

Beim erstellen macht er jedoch nicht länger als 2 Jahre. Ich habe gelesen das es einen Regedit Eintrag gibt unter

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSrv\Configuration\<CAname>

dort kann ich den Wert mit dem Schlüssel ValidityPeriodUnits auf manuell von 2 auf 5 stellen. Aber das wäre ja dann global?

 

Möchte es jedoch nur für die eine Vorlage einstellen. Im ADSI Editor kann man diese Vorlage bearbeiten und den Wert bei pKIExpirationPeriod ändern. Der ist jedoch im Oktett angelegt.

 

Weiß jemand wie man die Gültigkeitsdauer für eine einzelne Vorlage ändern kann?

[Dunkelmann 96]

Moin,

 

die maximale Gültigkeit von Zertifikaten definiert sich durch die Zertifikatsvorlage und die maximal zulässige Gültigkeit, die global auf der CA konfiguriert wird.

Der Standardwert 'Validity Period' einer Microsoft CA liegt bei 2 Jahren. Daher können in der Standardkonfiguration keine Zertifikate mit längerer Gültigkeit ausgestellt werden.

http://technet.microsoft.com/en-us/library/cc962064.aspx

 

Zur Konfiguration würde ich 'certutil' nutzen und nicht ADSI oder regedit.

http://technet.microsoft.com/en-us/library/cc732443.aspx

 

 

PS: Ich hoffe Du hast die 5 Jahre Gültigkeit für ausgestellte Zertifikate und die möglichen negativen Nebenwirkungen in Deine Überlegung einbezogen. Die Microsoft-Vorgaben bei einer PKI sind mMn recht gut und sollten nur angepasst werden, wenn man genau weis, was man da tut.

bearbeitet 27. Juni 2014 von Dunkelmann