kodach
Goto Top

Windows Server - Zertifikatsvorlage mit falscher Gültigkeit

Guten Abend

Seit wenigen Tagen übe ich an der Zertifizierungsstelle und habe dazu zwei Fragen wo ich noch keine Lösung gefunden habe.

Ich habe die Vorlage Webserver dupliziert, in AD Registrierung nicht ausgewählt und die Dauer auf 5 Jahre gesetzt. Wenn ich nun ein SSL Zertifikat ausstellen, hat mein Zertifikat aber nur eine Gültigkeit von 2 Jahren. Was könnte ich übersehen haben?

Bei DNS und auch DHCP aber auch AD habe ich jeweils auf einen zweiten Server für Failover/Replizieren. Gibt es sowas auch für die Zertifizierungsstelle? Gesichert wird der Server zwar mit Veeam aber denke ein Failover kann nie Schaden.

Gruss

Koda

Content-Key: 516705

Url: https://administrator.de/contentid/516705

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: 141965
Lösung 141965 19.11.2019 aktualisiert um 21:58:11 Uhr
Goto Top
Moin.
Per Default wird die maximale Gültigkeitsdauer
von ausgestellten Zertifikaten von der CA global beschränkt.
Die maximale zulässige Gültigkeitsdauer lässt sich aber per Registry oder certutil anpassen:
How to Change/Extend the Expiration Date of Certificates that Are Issued by a Windows Server 2008 or a Windows Server 2003 Certificate Authority
(Nicht vom OS täuschen lassen, das geschilderte gilt nach wie vor auch für aktuelle CAs).
Mitglied: KodaCH
KodaCH 19.11.2019 um 22:31:55 Uhr
Goto Top
Guten Abend

Danke. Das Versuche ich morgen mal. Finde ich noch speziell da ein root CA länger sein kann ohne Umstellung, und MS die Eingabe von > 2 Jahren zulässt. Aber das Verhalten wäre eigentlich nicht erstaunlich :D

Gruss

Koda
Mitglied: 141965
141965 20.11.2019 aktualisiert um 07:44:07 Uhr
Goto Top
Zitat von @KodaCH:

Danke. Das Versuche ich morgen mal. Finde ich noch speziell da ein root CA länger sein kann ohne Umstellung,
Die CA selbst ist von der Einstellung nicht betroffen nur die von ihr signierten Zertifikate!
Was du natürlich immer im Blick haben musst ist das das Root-Zertifikat immer länger gültig sein muss als das Gültigkeitsdatum des ausgestellten Zertifikats.
Wenn das Root deiner CA also 2030 abläuft und und die Einstellung auf z.B. 5 Jahre stellst würde das in 2026 dazu führen daß du ein Zertifikat ausstellst das länger Gültigkeit hat als das Root der CA und das darf nicht sein. Also musst du sicherstellen daß du schon vorher das Root Zertifikat verlängerst. Behalte das im Hinterkopf wenn du die Einstellung anpasst!
Je größer also der Zeitraum ist desto früher musst du dich an das Verlängern des Roots erinnern lassen, außer du machst dein Root gleich bis 2999 gültig 🙃