Auf Englisch lesen

Freigeben über

Ändern des Ablaufdatums von Zertifikaten, die von der Zertifizierungsstelle ausgestellt werden

  • Artikel

In diesem Artikel wird beschrieben, wie Sie den Gültigkeitszeitraum eines Zertifikats ändern, das von der Zertifizierungsstelle ausgestellt wird.

Ursprüngliche KB-Nummer: 254632

Übersicht

Standardmäßig beträgt die Lebensdauer eines Zertifikats, das von einer eigenständigen Zertifizierungsstelle ausgestellt wird, ein Jahr. Nach einem Jahr läuft das Zertifikat ab und ist nicht für die Verwendung vertrauenswürdig. Es kann Situationen geben, in denen Sie das Standardablaufdatum für Zertifikate außer Kraft setzen müssen, die von einer Zwischen- oder Ausstellenzertifizierungsstelle ausgestellt werden.

Der gültigkeitszeitraum, der in der Registrierung definiert ist, wirkt sich auf alle Zertifikate aus, die von eigenständigen und Unternehmens-Zertifizierungsstellen ausgestellt werden. Für Enterprise-CAs beträgt die Standardregistrierungseinstellung zwei Jahre. Bei eigenständigen CAs ist die Standardregistrierungseinstellung ein Jahr. Bei Zertifikaten, die von eigenständigen Zertifizierungsstellen ausgestellt werden, wird der Gültigkeitszeitraum durch den Registrierungseintrag bestimmt, der weiter unten in diesem Artikel beschrieben wird. Dieser Wert gilt für alle Zertifikate, die von der Zertifizierungsstelle ausgestellt werden.

Für Zertifikate, die von Enterprise-Zertifizierungsstellen ausgestellt werden, wird der Gültigkeitszeitraum in der Vorlage definiert, die zum Erstellen des Zertifikats verwendet wird. Windows 2000 und Windows Server 2003 Standard Edition unterstützen keine Änderung dieser Vorlagen. Windows Server 2003 Enterprise Edition unterstützt Zertifikatvorlagen der Version 2, die geändert werden können. Der in der Vorlage definierte Gültigkeitszeitraum gilt für alle Zertifikate, die von einer Unternehmenszertifizierungsstelle in der Active Directory-Gesamtstruktur ausgestellt wurden. Ein Zertifikat, das von einer Zertifizierungsstelle ausgestellt wird, ist mindestens für die folgenden Zeiträume gültig:

  • Die Gültigkeitsdauer der Registrierung, die weiter oben in diesem Artikel erwähnt wird.

    Dies gilt für die eigenständige Zertifizierungsstelle und untergeordnete Zertifizierungsstellenzertifikate, die von der Unternehmenszertifizierungsstelle ausgestellt wurden.

  • Der Gültigkeitszeitraum der Vorlage.

Dies gilt für die Enterprise-Zertifizierungsstelle. Von Windows 2000 und Windows Server 2003 Standard Edition unterstützte Vorlagen können nicht geändert werden. Vorlagen, die von Windows Server Enterprise Edition (Version 2-Vorlagen) unterstützt werden, unterstützen Änderungen.

Für eine Enterprise-Zertifizierungsstelle wird die Gültigkeitsdauer eines ausgestellten Zertifikats auf das Minimum aller folgenden Zertifikate festgelegt:

  • Die Gültigkeitsdauer der Registrierung (z. B. ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Gültigkeitszeitraum der Vorlage
  • Die verbleibende Gültigkeitsdauer des Signaturzertifikats der Zertifizierungsstelle
  • Wenn das EDITF_ATTRIBUTEENDDATE Bit im EditFlags-Registrierungswert des Richtlinienmoduls aktiviert ist, wird der gültigkeitszeitraum, der durch die Anforderungsattribute angegeben ist (ExpirationDate:Date or ValidityPeriod:Years\nValidityPeriodUnits:1)

Hinweis

  • Die Syntax "ExpirationDate:Date" wurde erst unter Windows Server 2008 unterstützt.
  • Bei einer eigenständigen Zertifizierungsstelle werden keine Vorlagen verarbeitet. Daher gilt der Gültigkeitszeitraum der Vorlage nicht.

Das Ablaufdatum des Zertifizierungsstellenzertifikats

Eine Zertifizierungsstelle kann kein Zertifikat mit einer längeren Gültigkeitsdauer als ein eigenes Zertifizierungsstellenzertifikat ausstellen.

Hinweis

Der Name des Anforderungsattributes besteht aus Wertzeichenfolgenpaaren, die die Anforderung begleiten und den Gültigkeitszeitraum angeben. Standardmäßig ist dies nur durch eine Registrierungseinstellung für eine eigenständige Zertifizierungsstelle aktiviert.

Ändern des Ablaufdatums von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden

Führen Sie die folgenden Schritte aus, um die Gültigkeitsdauereinstellungen für eine Zertifizierungsstelle zu ändern.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld "Öffnen" "regedit" ein, und klicken Sie dann auf "OK".

  3. Suchen Sie folgenden Registrierungsschlüssel, und klicken Sie auf ihn:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. Doppelklicken Sie im rechten Bereich auf "Gültigkeitsdauer".

  5. Geben Sie im Feld "Wert" einen der folgenden Werte ein, und klicken Sie dann auf "OK":

    • Tage
    • Wochen
    • Monate
    • Jahre

  6. Doppelklicken Sie im rechten Bereich auf "ValidityPeriodUnits".

  7. Geben Sie im Feld "Wert" den gewünschten numerischen Wert ein, und klicken Sie dann auf "OK". Geben Sie z. B. "2" ein.

  8. Beenden Sie den Dienst für Zertifikatdienste, und starten Sie den Dienst "Zertifikatdienste" erneut. Dazu gehen Sie wie folgt vor:

    1. Klicken Sie auf Start und anschließend auf Ausführen.

    2. Geben Sie im Feld "Öffnen" cmd ein, und klicken Sie dann auf "OK".

    3. Geben Sie an der Eingabeaufforderung die folgenden Zeilen ein. Drücken Sie nach jeder Zeile die EINGABETASTE.

      net stop certsvc
net start certsvc

    4. Geben Sie "Exit" ein, um die Eingabeaufforderung zu beenden.