Active Directory-Zertifikatdienste: Zertifikate mit einer Gültigkeit von mehr als 2 Jahren

• Betrifft: Microsoft Zertifizierungsstelle (Active Directory-Zertifikatdienste)
• System: Microsoft Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2
• Problem: Trotz Anpassung der Gültigkeitsdauer sind die ausgestellten Zertifikate maximal 2 Jahre alt. Die Zertifizierungsstelle wird auf einer Windows Server Enterprise Edition ausgeführt. Die abgeänderten Zertifikate werden mit einer Gültigkeit von maximal 2 Jahre ausgestellt.

Hintergrund

Nach der Installation der Microsoft Zertifizierungsstelle kann man ab der Enterprise Edition von Windows Server eigene Zertifikatsvorlagen erstellen und verwenden. Hierbei kann man ebenso eine höhere Gültigkeitsdauer vergeben.

Nach der Freigabe der neuen Vorlage und einer erfolgreichen Anforderung erhält man leider nur ein Zertifikat mit einer maximalen Gültigkeit von 2 Jahren. Selbst bei der Auswahl von 20 Jahren bleibt es lediglich bei 2 Jahren.

Nun wie so oft bei Microsoft, so auch hier: der Wert wird über eine zusätzliche Variabel in der Registrierung begrenzt. Dieser Wert liegt nach der Installation bei 2 Jahren. Höhere Werte gehen nicht. Im Übrigen gibt es noch einen weitere Begrenzung. Das auszustellende Zertifikat darf auch nicht länger gültig sein als das der Zertifizierungsstelle.

Behebung

Zum Glück gibt es ein entsprechendes Tool, das bei jeder Installation dabei ist. Somit erspart man sich den Weg über die Registrierung. Somit die Windows Kommandozeile (= "cmd") aufrufen und folgenden Befehl eingeben:

XY = ist ein numerischer Wert, der die Jahre wiederspiegelt. Der Wert "50" steht für 32 Jahre. Mit "99" ist das Maximum erreicht.

Nach dem Ausführen des Befehls muss der entsprechende Dienst neu gestartet werden.

Weitere interessante Befehle in diesem Zusammenhang:

Gültigkeitseinheit anzeigen:

Gültigkeitsdauer auslesen: