none
Validation Time for Certificates RRS feed

  • Frage

  • Hallo ,

    Ich möchte nicht jedes Jahr die Zertifikate erneuern, die bei uns von einer eigenen PKI gezeichnet werden.

    Ist es möglich eine größere Validation Time als 1 Jahr in einem CSR einzustellen.  Bei den selbstsignierten werden 5 Jahre Gültigkeit signiert.

    Leider habe ich keine Info in der Doku dazu gefunden.

    Gruss Thomas Lange

    Mittwoch, 25. September 2013 07:31

Antworten

  • Das Problem war wirklich die CA

    Man muss dort mit :

    Certutil -setreg CA\ValidityPeriodUnits
    Certutil -setreg CA\ValidityPeriod

    die maximale Gültigkeitsdauer einstellen. Die Einstellungen der Templates ziehen nicht. 

    Wenn man ValildityPeriod mit 1 und Units = Year hat , kann man nur max 1 Jahr verlänger.

    Länger als die Gültikeit des Signier Zertifikats geht allerdings nicht.

    Gruss Thomas

    • Als Antwort markiert thomaslange Donnerstag, 26. September 2013 16:18
    Donnerstag, 26. September 2013 16:18

Alle Antworten

  • Die Laufzeit kommt nicht vom CSR sondern vom Template (zumindest bei einer MS CA). Deine Kollegen die die PKI betreuen müssen dann das Webserver Template anpassen oder ein neues erstellen.

    Gruß

    Jörg

    Mittwoch, 25. September 2013 08:04
  • Hallo Jörg,

    Unsere MS CA sagt :" Die Gültigkeit des Zertifikats ist kürzer, als für die Zertifikatvorlage festgelegt wurde . "  In der Vorlage sind 9 jahre erlaubt.

    Außerdem wird in der Exchange Mgmt Console nach Ausstellen des Requeste schon eine Gültigkeit bis 25.9.2014 - also ein Jahr angezeigt.

    Gruß Thomas

    Mittwoch, 25. September 2013 10:43
  • Wie stellst du das Zertifikat denn aus, reichst du den Request über die Webseite ein? Im Zertifikat gibt es ein Feld "Certificate Template Name", welches Template steht denn da drin? Weil das Standard Webserver Template hat eine Laufzeit von 2 Jahren. Kann es sein das ihr das Computer Template nutzt, weil das ist nur 1 Jahr gültig.

    Gruß

    Jörg


    Mittwoch, 25. September 2013 14:08
  • Hallo Jörg,

    Die Request  geht über die CA-Weboberfläche. Wir haben extra ein  Server Template für 9 Jahre Laufzeit eingerichtet. Dieses wird auch angezeigt und benutzt .

    Warum steht in der Exchange Mgmt Console eine Laufzeit von 1 Jahr nach Formulieren des Requests ?

    Thomas

    Mittwoch, 25. September 2013 17:06
  • Hi Thomas,

    welche Exchangeversion setzt du ein und wie erstellst du den Request?

    Get-ExchangeCertificate|fl thum*,not*,Services,status

    Der Request liegt IMHO bei einem Jahr, aber interessant ist das Zertifikat, dass du zurück bekommst. Wie sieht das aus?

    Viele Grüße

    Christian 

    Donnerstag, 26. September 2013 05:09
    Moderator
  • Das Problem war wirklich die CA

    Man muss dort mit :

    Certutil -setreg CA\ValidityPeriodUnits
    Certutil -setreg CA\ValidityPeriod

    die maximale Gültigkeitsdauer einstellen. Die Einstellungen der Templates ziehen nicht. 

    Wenn man ValildityPeriod mit 1 und Units = Year hat , kann man nur max 1 Jahr verlänger.

    Länger als die Gültikeit des Signier Zertifikats geht allerdings nicht.

    Gruss Thomas

    • Als Antwort markiert thomaslange Donnerstag, 26. September 2013 16:18
    Donnerstag, 26. September 2013 16:18
  • Danke für die Rückmeldung und schön zu hören!

    Grüße

    Christian

    Freitag, 27. September 2013 04:31
    Moderator