none
Standalone CA Zertifikatvorlagen nicht einsehbar - Fehlermeldung RRS feed

  • Frage

  • Hi Leute,

    mal kurz eine Frage. Ich möchte gern, dass Zertifikat von meiner Enterprise-CA verlängern. Ich habe eine Offline Root CA und die Enterprise-CA.

    Nun habe ich den Server, der virtualisiert und ohne Netzwerkverbindung installiert wurde, gestartet. Wenn ich nun auf die Active Directory Zertifikatsdienste gehe und dort Zertifikatsvorlagen auswähle, erhalte ich folgende Fehlermeldung: "Informationen zu den Zertifikatvorlagen können von einem Domänencontroller gelesen werden. Ein Domänencontroller darf sich nicht im Netzwerk befinden".

    Jemand einen Rat?

    Hintergrund: Das bisherige Enterprise-CA hat eine Gültigkeit von einem Jahr und diese würde ich gern auf 5 oder 10 Jahre hochsetzen. Das muss ich ja in den Zertifikatsvorlagen machen oder habe ich noch eine andere Möglichkeit?

    Danke

    Mittwoch, 1. Dezember 2010 23:12

Antworten

  • Hi,

    die Fehlermeldung hört sich gut an ;) Ich denke das ist was bei der Übersetzung falsch gelaufen ...

    Auf der Root-CA wirst du keine Vorlagen finden. Die liegen im Active Directory. Ich musste bisher die Laufzeit einer Sub-CA noch nicht erhöhen. Aber wenn du eine Sub-CA installierst, wird der Zertifikatsrequest aus den Infos der capolicy.inf erstellt. Dort kann man die Laufzeit festlegen. Ich würde veruchen die Gültigkeitsdauer dort anzupassen und danach das Zertifikat der Ent.-CA über die Konsole erneuern lassen.

    http://technet.microsoft.com/en-us/library/cc776691(WS.10).aspx

    Bevor du den Request dann auf der Root-CA einreichst, kannst du mit den folgenden Befehlen die Laufzeit für auszustellende Zertifikate an die Daten der CAPolicy.inf anpassen.

    certutil -setreg CA\ValidityPeriodUnits 5

    certutil -setreg CA\ValidityPeriod "Years"

    Danach die Zertifikatsdienste neu starten. Hier noch ein paar Infos zur CAPolicy.inf

    http://technet.microsoft.com/en-us/library/cc728279(WS.10).aspx

    Ich würde aber solche Operationen erst in einer Testumgebung ausprobieren, bevor ich es produktiv einsetze.


    Viele Grüße Carsten
    • Als Antwort markiert RogerG781MVP Donnerstag, 2. Dezember 2010 07:11
    Donnerstag, 2. Dezember 2010 06:19

Alle Antworten

  • Hi,

    die Fehlermeldung hört sich gut an ;) Ich denke das ist was bei der Übersetzung falsch gelaufen ...

    Auf der Root-CA wirst du keine Vorlagen finden. Die liegen im Active Directory. Ich musste bisher die Laufzeit einer Sub-CA noch nicht erhöhen. Aber wenn du eine Sub-CA installierst, wird der Zertifikatsrequest aus den Infos der capolicy.inf erstellt. Dort kann man die Laufzeit festlegen. Ich würde veruchen die Gültigkeitsdauer dort anzupassen und danach das Zertifikat der Ent.-CA über die Konsole erneuern lassen.

    http://technet.microsoft.com/en-us/library/cc776691(WS.10).aspx

    Bevor du den Request dann auf der Root-CA einreichst, kannst du mit den folgenden Befehlen die Laufzeit für auszustellende Zertifikate an die Daten der CAPolicy.inf anpassen.

    certutil -setreg CA\ValidityPeriodUnits 5

    certutil -setreg CA\ValidityPeriod "Years"

    Danach die Zertifikatsdienste neu starten. Hier noch ein paar Infos zur CAPolicy.inf

    http://technet.microsoft.com/en-us/library/cc728279(WS.10).aspx

    Ich würde aber solche Operationen erst in einer Testumgebung ausprobieren, bevor ich es produktiv einsetze.


    Viele Grüße Carsten
    • Als Antwort markiert RogerG781MVP Donnerstag, 2. Dezember 2010 07:11
    Donnerstag, 2. Dezember 2010 06:19
  • Die CaPolicy hatte ich mir gestern angeschaut, die werde ich nun entsprechend anpassen und verwenden. Hab dafür nen Testserver, werde mal schauen, ob ich es dort korrekt erstellen kann :-) Bisher hab ich mir die Templates auf der Offline-CA nicht angesehen und bin gestern eher durch Zufall darüber gestolpert. Die Fehlermeldung hat mich dann aber doch ziemlich irritiert. Zumal ich extra einen weiteren Server aufgesetzt habe und nach Installation der ADCS, der gleiche Fehler wieder auftrat. Danke für die Infos.
    Donnerstag, 2. Dezember 2010 07:11