Erhöhen der maximalen Laufzeit von Zertifikaten mit Active Directory Certificate Services

Für die maximale Laufzeit des Zertifikat sind 3 Komponenten ausschlaggebend:

  • Laufzeit des Zertifikatstemplates
  • Restlaufzeit des CA Zertifikats – ein ausgestelltes Zertifikat erhält maximal eine Laufzeit, die der Restlaufzeit des CA Zertifikats entspricht
  • Validity Period der CA

Bereits ohne Anpassungen können in Windows CAs Zertifikatsvorlagen erstellt werden, bei denen eine Gültigkeit von mehr als 2 Jahren angegeben werden kann. Schaut man sich ein mit einer solchen Vorlage ausgestelltes Zertifikat aber an, stellt man fest, dass die Laufzeit trotzdem nur 2 Jahre beträgt.

Der Grund für dieses Verhalten ist in einer Einstellung der CA selbst begründet, die generell jedes Zertifikat unabhängig von der Einstellung in der Vorlage auf max. 2 Jahre begrenzt.

Der aktuelle Wert dieser Einstellung kann mit folgenden 2 Befehlen geprüft werden:

certutil -getreg ca\ValidityPeriod
certutil -getreg ca\ValidityPeriodUnits

Obwohl man rein von den Bezeichnungen vom Gegenteil ausgehen könnte, gibt der erste Befehl dabei die Einheitsgröße (Default: Years) aus und der zweite Befehl die Anzahl der Einheiten (Default: 2).

Um Zertifikate mit längerer (oder auch kürzerer) maximaler Gültigkeitsdauer ausstellen zu können, ist der Wert für ValidityPeriodUnit dementsprechend anzupassen (im folgenden Beispiel möchte ich die maximale Laufzeit auf 10 Jahre erhöhen).

certutil -setreg ca\ValidityPeriodUnits 10

Mir fällt zwar bei internen CAs kein sinnvoller Anwendungszweck ein, aber möchte man die maximale Laufzeit eines Zertifikats auf Monate oder gar Tage reduzieren, ist zusätzlich noch der Wert der ValidityPeriod anzupassen (im folgenden Beispiel möchte ich die maximale Laufzeit auf 1 Tag reduzieren).

certutil -setreg ca\ValidityPeriod Days
certutil -setreg ca\ValidityPeriodUnits 1

Gültige Werte für ValidityPeriod sind Days, Months und Years.

Im Anschluss an die Änderung muss der Zertifikatsdienst neu gestartet werden.

Zu erwähnen ist noch, dass die Änderung nur bei zukünftig ausgestellten Zertifikaten gültig ist; bereits ausgestellte Zertifikate behalten ihre ursprüngliche Gültigkeitsdauer.

1 Antwort

  1. Markus sagt:

    Vielen Dank, das hat mich heute gerettet!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.