Gültigkeitsdauer Subordinate Certificate Authority

Veröffentlicht von Mac am

Rating: 4.9/5. (12 Stimmen) Details
Bitte warten...

Um in einer Microsoft PKI (Public Key Infrastructure) die Gültigkeit des Zertifikats der untergeordneten Zertifizierungsstelle (Subordinate Certificate Authority, kurz Sub CA) zu ändern, greift man auf das Tool certutil.exe zurück. Es ist auf jedem Windows Server-Betriebssytem vorinstalliert. Die Gründe für eine Änderung können vielfältig sein und gründen auf der Philosophie und Sicherheitsanforderung der jeweiligen Firmen.

Sind besonders hohe Anforderungen gesetzt, kann man die Gültigkeitsdauer, standardmäßig bei 2 Jahre, herab-, bei geringeren Anforderungen, durch Nutzung neuerer Verschlüsselungsalgorithmen (bspw. SHA-2) oder Verwendung einer hohen Schlüssellänge (2048 Bit, 4096 Bit oder mehr) heraufsetzen.

Die Dauer wird in der Registry (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration)  abgespeichert. Durch certutil.exe greift man darauf zu und kann Änderungen vornehmen.

Anzeigen der Dauer:

PS C:\> certutil.exe /getreg ca\validity*

Values:
  ValidityPeriod REG_SZ = Years
  ValidityPeriodUnits REG_DWORD = 2

Um die Dauer zu ändern, verwendet man den Schalter SetReg und übergibt die entsprechenden Werte. Setzen der Gültigkeit von 10 Jahren:

PS C:\> certutil.exe /setreg ca\ValidityPeriod "Years"
PS C:\> certutil.exe /setreg ca\ValidityPeriodUnits "10"

Anschließend erstellt man im Windows Root-Verzeichnis (%windir%) eine Plaintext-Datei namens CAPolicy.inf (ANSI encoded) und befüllt die Datei mit entsprechenden Werten:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=AllIssuancePolicy
Critical=False
[AllIssuancePolicy]
OID=2.5.29.32.0
[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10

Schlussendlich startet man die CA neu durch.

PS C:\> Restart-Service CertSvc

Nun kann man das Zertifikat erneuern, die neue Gültigkeitsdauer wird dabei übernommen.

Tipp
In neueren CA-Umgebungen kann eine neue Zertifikatsvorlage, basierend auf dem Template “Untergeordnete Zertifizierungsstelle” mit einer angepassten Laufzeit, eine Alternative darstellen. Damit diese Vorlage beim Erneuern des Zertifikats verwendet wird, muss zum einen das neue Template auf der Root CA unter “Zertifikatsvorlagen” hinzugefügt, zum anderen die CAPolicy.inf auf der Sub CA angepasst werden.

[Certsrv_Server]
LoadDefaultTemplates=0
[RequestAttributes]
CertificateTemplate="TheNewTemplateName"

Informationen zur Provisionierung der CAPolicy.inf finden sich auf Microsoft Docs.

Weiterführende Informationen
How to change the expiration date of certificates that are issued by a Windows Server 2003 or a Windows 2000 Server Certificate Authority
Renewing a certification authority

 

 

Related Posts:

Kategorien: MicrosoftSecurity
Schlagwörter:
Mac

Mac

Seit über 20 Jahren beschäftige ich mich mit Themen aus dem Bereich IT. Mein Schwerpunkt liegt dabei auf Produkte aus dem Hause Microsoft. Dazu gehören neben Active Directory und Windows Server insbesondere Netzwerkdienste wie DNS, DFS und DHCP. Zudem bin ich ein großer Verfechter des Internet Information Service, also dem Windows Webserver. Berührungspunkte im Bereich Citrix XenApp sowie XenDesktop, als auch VMware runden meinen Erfahrungsschatz ab.

0 Kommentare

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.