Gültigkeitsdauer Subordinate Certificate Authority
Um in einer Microsoft PKI-Umgebung die Gültigkeit des Zertifikats der untergeordneten Zertifizierungsstelle (Subordinate Certificate Authority, kurz Sub CA) zu ändern, unterstützt das Tool certutil. Es ist auf jedem Windows Server-Betriebssytem vorinstalliert.
Die Gründe für eine Änderung können vielfältig sein und gründen auf der Philosophie und Sicherheitsanforderung der jeweiligen Firmen.
Sind besonders hohe Anforderungen gesetzt, kann man die Gültigkeitsdauer, standardmäßig bei 2 Jahre, herab-, bei geringeren Anforderungen, durch Nutzung neuerer Verschlüsselungsalgorithmen (bspw. SHA-2, SHA-3) oder Verwendung einer hohen Schlüssellänge (2048 Bit, 4096 Bit oder mehr) heraufsetzen.
Die Dauer wird in der Registry (HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\CertSvc\Configuration) abgespeichert. Durch certutil.exe greift man darauf zu und kann Änderungen vornehmen.
Anzeigen der Dauer:
certutil.exe /getreg ca\validity*
Ergebnis:
ValidityPeriod REG_SZ = Years ValidityPeriodUnits REG_DWORD = 2
Um nun die Dauer zu ändern, verwendet man den Schalter SetReg und übergibt die entsprechenden Werte.
Setzen der Gültigkeit von 3 Monaten:
certutil.exe /setreg ca\ValidityPeriod "Months" certutil.exe /setreg ca\ValidityPeriodUnits "3"
Anschliessend startet man die CA neu durch.
net stop certsvc && net start certsvc
Nun kann man das Zertifikat erneuern, die neue Gültigkeitsdauer wird dabei übernommen.
Renewing a certification authority