Wer meine Howtos (Server 2008R2-Exchange 2010 und Server 2012-Exchange 2013) für eine Interne Zertifizierungsstelle und SAN-Zertifikaten gefolgt ist, möchte ggf. auch Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen. Zwar kann in der Zertifikatsvorlage schon eine Gültigkeit von mehr als 2 Jahren angegeben werden. Die Zertifikate sind nach dem Beantragen aber trotzdem nur 2 Jahre gültig.
Grund für die 2 Jahre Gültigkeitsdauer ist eine Einstellung der CA, hier ist als maximales Zertifikatsalter 2 Jahre voreingestellt. Der aktuelle Wert kann mit folgenden Befehlen geprüft werden:
certutil -getreg ca\ValidityPeriodUnits
certutil -getreg ca\ValidityPeriod
Die beiden Befehle geben Wert und Einheit aus, in diesem Fall 2 Jahre.
Damit Zertifikate mit längerer Gültigkeitsdauer ausgestellt werden können, muss zuerst das maximale Zertifikatsalter der CA angepasst werden. In diesem Fall wird der Wert für ValidityPeriodUnits auf 5 hochgesetzt
certutil -setreg ca\ValidityPeriodUnits „5“
Was dann zusammen mit der Einheit von ValidityPeriod eine maximales Alter von 5 Jahren ergibt.
Für bereits ausgestellte Zertifikate gilt diese Änderung nicht.