Um in einer Microsoft PKI (Public Key Infrastructure) die Gültigkeit des Zertifikats der untergeordneten Zertifizierungsstelle (Subordinate Certificate Authority, kurz Sub CA) zu ändern, greift man auf das Tool certutil.exe zurück. Es ist auf jedem Windows Server-Betriebssytem vorinstalliert. Die Gründe für eine Änderung können vielfältig sein und gründen auf der Philosophie und Sicherheitsanforderung der jeweiligen Firmen.
Sind besonders hohe Anforderungen gesetzt, kann man die Gültigkeitsdauer, standardmäßig bei 2 Jahre, herab-, bei geringeren Anforderungen, durch Nutzung neuerer Verschlüsselungsalgorithmen (bspw. SHA-2) oder Verwendung einer hohen Schlüssellänge (2048 Bit, 4096 Bit oder mehr) heraufsetzen.
Die Dauer wird in der Registry (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration) abgespeichert. Durch certutil.exe greift man darauf zu und kann Änderungen vornehmen.
Anzeigen der Dauer:
PS C:\> certutil.exe /getreg ca\validity* Values: ValidityPeriod REG_SZ = Years ValidityPeriodUnits REG_DWORD = 2
Um die Dauer zu ändern, verwendet man den Schalter SetReg und übergibt die entsprechenden Werte. Setzen der Gültigkeit von 10 Jahren:
PS C:\> certutil.exe /setreg ca\ValidityPeriod "Years" PS C:\> certutil.exe /setreg ca\ValidityPeriodUnits "10"
Anschließend erstellt man im Windows Root-Verzeichnis (%windir%) eine Plaintext-Datei namens CAPolicy.inf (ANSI encoded) und befüllt die Datei mit entsprechenden Werten:
[Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=AllIssuancePolicy Critical=False [AllIssuancePolicy] OID=2.5.29.32.0 [Certsrv_Server] RenewalKeyLength=4096 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=10
Schlussendlich startet man die CA neu durch.
PS C:\> Restart-Service CertSvc
Nun kann man das Zertifikat erneuern, die neue Gültigkeitsdauer wird dabei übernommen.
[Certsrv_Server] LoadDefaultTemplates=0 [RequestAttributes] CertificateTemplate="TheNewTemplateName"
Informationen zur Provisionierung der CAPolicy.inf finden sich auf Microsoft Docs.
0 Kommentare