Wer meine Howtos (Server 2008R2-Exchange 2010 und Server 2012-Exchange 2013) für eine Interne Zertifizierungsstelle und SAN-Zertifikaten gefolgt ist, möchte ggf. auch Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen. Zwar kann in der Zertifikatsvorlage schon eine Gültigkeit von mehr als 2 Jahren angegeben werden. Die Zertifikate sind nach dem Beantragen aber trotzdem nur 2 Jahre gültig.
Grund für die 2 Jahre Gültigkeitsdauer ist eine Einstellung der CA, hier ist als maximales Zertifikatsalter 2 Jahre voreingestellt. Der aktuelle Wert kann mit folgenden Befehlen geprüft werden:
certutil -getreg ca\ValidityPeriodUnits
certutil -getreg ca\ValidityPeriod
Die beiden Befehle geben Wert und Einheit aus, in diesem Fall 2 Jahre.
Damit Zertifikate mit längerer Gültigkeitsdauer ausgestellt werden können, muss zuerst das maximale Zertifikatsalter der CA angepasst werden. In diesem Fall wird der Wert für ValidityPeriodUnits auf 5 hochgesetzt
certutil -setreg ca\ValidityPeriodUnits „5“
Was dann zusammen mit der Einheit von ValidityPeriod eine maximales Alter von 5 Jahren ergibt.
Für bereits ausgestellte Zertifikate gilt diese Änderung nicht.
Servus,
bei Server 2016 darf man die 5 nicht in „“ schreiben, sonst funktioniert es nicht.
geht nicht –> certutil -getreg ca\ValidityPeriodUnits „5“
geht –> certutil -getreg ca\ValidityPeriodUnits 5
LG Lutz
Hallo zusammen,
damit nach dem certutil-Befehl der neue Eintrag zieht muss der Dienst „Active Directory-Zertifikatsdienste“ neu gestartet werden.
Gruß,
Stefan
Hallo Frank,
ich vermute das meine interne Zertifizierungstelle an dem Datum abläuft. Deswegen kann sie auch nicht Zertifikate von einer längeren Dauer ausstellen.
Ich suche da mal nach.
Gruß markus
Das würde passen, eine CA kann keine Zertifikate über ihre eigene Gültig hinaus erstellen
Hallo Franky,
danke für den Eintrag. Hab die Änderungen bei mir vorgenommen. Wenn ich jetzt aber über die Zertifizierungsstelle ein neues Zertifikat ausstelle sind es immer noch nur 2 Jahre. Komischweiser sogar vom 8.4.2014.
Ist da was schief gelaufen?
Danke für eine Antwort.
Gruß Markus
Hallo,
hast du auch die Vorlage angepasst? Da scheint in der Tat etwas bei dir schief gelaufen zu sein. Das „gültig ab“ Datum enspricht normalerweise dem Austellungsdatum, zumindest in den meisten Konfigurationen.
Gruß,Frank
Hallo Frank,
danke dir für die Antwort. Die Webserver-Vorlage hatte ich natürlich nicht angepasst. Diese lässt sich auch nicht editieren. Also habe ich diese als Server 2008 Enterprise-Zertifikat dupliziert und den verfügbaren Zertifikatvorlagen hinzugefügt.
Jetzt steht bei der Erstellung eine Dauer von 1825 Tagen.(unter Details) Sobald ich das Zertfikat aber registriere ist das Ablaufdatum wieder 8.4.2016. :(
Also ich erstelle die immer über die MMC-Console und nicht über die Website. Ist das ein Unterschied? Kann dir gerne auch mal Screenshots zur Verfügung stellen. Falls ich dich damit nicht zu sehr belästige.
Danke und Gruß
Markus