If you like my howtos (Server 2008R2-Exchange 2010 and Server 2012-Exchange 2013) for an internal certification authority and SAN certificates, may also want to issue certificates with a validity of more than 2 years. A validity of more than 2 years can be specified in the certificate template. However, the certificates are still only valid for 2 years after the application.
The reason for the 2-year validity period is a setting of the CA, where the maximum certificate age is preset to 2 years. The current value can be checked with the following commands:
certutil -getreg ca\ValidityPeriodUnits
certutil -getreg ca\ValidityPeriod
The two commands output the value and unit, in this case 2 years.
In order for certificates with a longer validity period to be issued, the maximum certificate age of the CA must first be adjusted. In this case, the value for ValidityPeriodUnits is increased to 5
certutil -setreg ca\ValidityPeriodUnits "5"
This, together with the unit of ValidityPeriod, results in a maximum age of 5 years.
This change does not apply to certificates that have already been issued.
Servus,
bei Server 2016 darf man die 5 nicht in „“ schreiben, sonst funktioniert es nicht.
geht nicht –> certutil -getreg ca\ValidityPeriodUnits „5“
geht –> certutil -getreg ca\ValidityPeriodUnits 5
LG Lutz
Hallo zusammen,
damit nach dem certutil-Befehl der neue Eintrag zieht muss der Dienst „Active Directory-Zertifikatsdienste“ neu gestartet werden.
Gruß,
Stefan
Hallo Frank,
ich vermute das meine interne Zertifizierungstelle an dem Datum abläuft. Deswegen kann sie auch nicht Zertifikate von einer längeren Dauer ausstellen.
Ich suche da mal nach.
Gruß markus
Das würde passen, eine CA kann keine Zertifikate über ihre eigene Gültig hinaus erstellen
Hallo Franky,
danke für den Eintrag. Hab die Änderungen bei mir vorgenommen. Wenn ich jetzt aber über die Zertifizierungsstelle ein neues Zertifikat ausstelle sind es immer noch nur 2 Jahre. Komischweiser sogar vom 8.4.2014.
Ist da was schief gelaufen?
Danke für eine Antwort.
Gruß Markus
Hallo,
hast du auch die Vorlage angepasst? Da scheint in der Tat etwas bei dir schief gelaufen zu sein. Das „gültig ab“ Datum enspricht normalerweise dem Austellungsdatum, zumindest in den meisten Konfigurationen.
Gruß,Frank
Hallo Frank,
danke dir für die Antwort. Die Webserver-Vorlage hatte ich natürlich nicht angepasst. Diese lässt sich auch nicht editieren. Also habe ich diese als Server 2008 Enterprise-Zertifikat dupliziert und den verfügbaren Zertifikatvorlagen hinzugefügt.
Jetzt steht bei der Erstellung eine Dauer von 1825 Tagen.(unter Details) Sobald ich das Zertfikat aber registriere ist das Ablaufdatum wieder 8.4.2016. :(
Also ich erstelle die immer über die MMC-Console und nicht über die Website. Ist das ein Unterschied? Kann dir gerne auch mal Screenshots zur Verfügung stellen. Falls ich dich damit nicht zu sehr belästige.
Danke und Gruß
Markus