Interne Zertifizierungsstelle: Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen

Wer meine Howtos (Server 2008R2-Exchange 2010 und Server 2012-Exchange 2013) für eine Interne Zertifizierungsstelle und SAN-Zertifikaten gefolgt ist, möchte ggf. auch Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen. Zwar kann in der Zertifikatsvorlage schon eine Gültigkeit von mehr als 2 Jahren angegeben werden. Die Zertifikate sind nach dem Beantragen aber trotzdem nur 2 Jahre gültig.

image

Grund für die 2 Jahre Gültigkeitsdauer ist eine Einstellung der CA, hier ist als maximales Zertifikatsalter 2 Jahre voreingestellt. Der aktuelle Wert kann mit folgenden Befehlen geprüft werden:

certutil -getreg ca\ValidityPeriodUnits

certutil -getreg ca\ValidityPeriod

Die beiden Befehle geben Wert und Einheit aus, in diesem Fall 2 Jahre.

Gültigkeit

Damit Zertifikate mit  längerer Gültigkeitsdauer ausgestellt werden können, muss zuerst das maximale Zertifikatsalter der CA angepasst werden. In diesem Fall wird der Wert für ValidityPeriodUnits auf 5 hochgesetzt

certutil -setreg ca\ValidityPeriodUnits „5“

Was dann zusammen mit der Einheit von ValidityPeriod eine maximales Alter von 5 Jahren ergibt.

image

Für bereits ausgestellte Zertifikate gilt diese Änderung nicht.

7 Kommentare zu “Interne Zertifizierungsstelle: Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen”

  1. Hallo Franky,

    danke für den Eintrag. Hab die Änderungen bei mir vorgenommen. Wenn ich jetzt aber über die Zertifizierungsstelle ein neues Zertifikat ausstelle sind es immer noch nur 2 Jahre. Komischweiser sogar vom 8.4.2014.

    Ist da was schief gelaufen?

    Danke für eine Antwort.

    Gruß Markus

    1. Hallo,
      hast du auch die Vorlage angepasst? Da scheint in der Tat etwas bei dir schief gelaufen zu sein. Das „gültig ab“ Datum enspricht normalerweise dem Austellungsdatum, zumindest in den meisten Konfigurationen.
      Gruß,Frank

      1. Hallo Frank,

        danke dir für die Antwort. Die Webserver-Vorlage hatte ich natürlich nicht angepasst. Diese lässt sich auch nicht editieren. Also habe ich diese als Server 2008 Enterprise-Zertifikat dupliziert und den verfügbaren Zertifikatvorlagen hinzugefügt.
        Jetzt steht bei der Erstellung eine Dauer von 1825 Tagen.(unter Details) Sobald ich das Zertfikat aber registriere ist das Ablaufdatum wieder 8.4.2016. :(

        Also ich erstelle die immer über die MMC-Console und nicht über die Website. Ist das ein Unterschied? Kann dir gerne auch mal Screenshots zur Verfügung stellen. Falls ich dich damit nicht zu sehr belästige.

        Danke und Gruß
        Markus

  2. Hallo Frank,

    ich vermute das meine interne Zertifizierungstelle an dem Datum abläuft. Deswegen kann sie auch nicht Zertifikate von einer längeren Dauer ausstellen.

    Ich suche da mal nach.

    Gruß markus

  3. Hallo zusammen,

    damit nach dem certutil-Befehl der neue Eintrag zieht muss der Dienst „Active Directory-Zertifikatsdienste“ neu gestartet werden.

    Gruß,
    Stefan

  4. Servus,

    bei Server 2016 darf man die 5 nicht in „“ schreiben, sonst funktioniert es nicht.

    geht nicht –> certutil -getreg ca\ValidityPeriodUnits „5“

    geht –> certutil -getreg ca\ValidityPeriodUnits 5

    LG Lutz

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.