none
Certificato Certification Authority del domain server scaduto dopo 5 anni RRS feed

  • Domanda

  • Nelle prime settimane di aprile abbiamo avuto dei problemi alla rete aziendale.

    Abbiamo scoperto che il problema era nel certificato della Certification Authority (local) del ns server di dominio (un server Windows 2016), certificato scaduto dopo 5 anni.

    E’ una brutta cosa perché di fatto a noi si è fermato tutto quello che pesca in qualche modo dal AD (firewall sso agent, wifi controllor 802.1x etc). Insomma un bel disservizio di quasi mezza giornata prima di capire.

    In effetti 5 anni prima avevamo migrato il server SBS2003 in un SBS2011 (sua volta migrato come dominio sull’attuale server win2016 ad inizio 2018).

    Ho rinnovato il certificato dal certsvr.msc cos' che da Certificate#0 (expired) è diventato Certificate#1 e ora ho scadenza fra altri 5 anni (aprile 2024).
    - Mi chiedo e chiedo a voi se si può impostare una scadenza più lunga dei soliti 5 anni o impostare una rinnovo automatico.
    - Chiedo inoltre se questa cosa della scadenza del certificato della CA locale è presente in tutte le installazioni Windows con dominio AD o è capitato a me perché provengo da una migrazione di un SBS?

    Intanto ho già messo un bel cartello all’ingresso del CED (che non passa inosservato) a memento per la scadenza dei prossimi 5 anni.

    Grazie

    domenica 5 maggio 2019 15:50

Tutte le risposte

  • la durata di validità dei certificati è liberamente impostabile al momento della installazione della Certification Authority.

    io, per comodità, al certificato root della CA ho dato un periodo di validità di 100 anni :-)

    qui sotto trovi un articolo che ti spiega la cosa

    https://support.microsoft.com/en-ie/help/254632/how-to-change-the-expiration-date-of-certificates-that-are-issued-by-a

    tiene presente che in sede di installazione della CA puoi definire le durate di vari tipi di certificati, se poi vuoi modificarle devi crearti altri template di certificato oppure puoi seguire questo documento

    https://www.sysadmins.lv/blog-en/how-to-change-ca-certificate-validity-period.aspx


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 6 maggio 2019 06:39
    Moderatore
  • Ok tutto molto interessante. Mi sa che questi articoli si applicano solo a sistemi win2003.
    Per esempio ho provato a modificare la chiave indicata nel primo articolo ma non viene considerata.
    Per altro il default nella chiave è 2 anni mentre il rinnovo aumenta di 5, quindi penso che quella chiave non funzioni per un sistema win2016.
    Nel secondo articolo si fa riferimento ad un file CAPpolicy.inf che nel sistema win2016 io non trovo.

    Comunque è sicuramente uno spunto ottimo per iniziare una ricerca mirata in rete.
    Grazie mille.

    lunedì 6 maggio 2019 14:15
  • il tempo di validità di un certo template di certificato è un parametro che è sempre presente in tutte le versioni di CA, è un parametro fondamentale e non può mancare quindi non vale solo per win2k3

    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 7 maggio 2019 08:04
    Moderatore
  • Ciao,
    ho rifatto un renew e sono andato avanti di altri 5 anni. Ora sono al 2029.
    Ho atteso alcuni giorni e poi ho rinnovato di nuovo ma non si sono aggiunti ulteriori 5 anni....
    Ad ogni modo per il momento mi ritengo soddisfatto....

    Chi ci sarà nel 2029 (io no) vedrà....
    Grazie ancora

    giovedì 9 maggio 2019 09:23