Ändern des Ablaufdatums von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden

In diesem Artikel wird beschrieben, wie Sie den Gültigkeitszeitraum eines Zertifikats ändern, das von der Zertifizierungsstelle ausgestellt wird.

Ursprüngliche Produktversion:   Windows 10 – alle Editionen, Windows Server 2012 R2
Ursprüngliche KB-Nummer:   254632

Zusammenfassung

Standardmäßig beträgt die Gültigkeitsdauer eines Zertifikats, das von einer eigenständigen Zertifizierungsstelle ausgestellt wird, ein Jahr. Nach einem Jahr läuft das Zertifikat ab und ist nicht mehr für die Verwendung vertrauenswürdig. Es kann Situationen geben, in denen Sie das Standardablaufdatum für Zertifikate außer Kraft setzen müssen, die von einer Zwischen- oder ausstellenden Zertifizierungsstelle ausgestellt wurden.

Der gültigkeitszeitraum, der in der Registrierung definiert ist, wirkt sich auf alle Zertifikate aus, die von eigenständigen zertifizierungs- und Unternehmens-Zertifizierungs-Unternehmen ausgestellt werden. Für #A0 ist die Standardregistrierungseinstellung zwei Jahre. Bei eigenständigen ZS beträgt die Standardregistrierungseinstellung ein Jahr. Bei Zertifikaten, die von eigenständigen Zertifizierungszertifikaten ausgestellt werden, wird der Gültigkeitszeitraum durch den Registrierungseintrag bestimmt, der weiter unten in diesem Artikel beschrieben wird. Dieser Wert gilt für alle Zertifikate, die von der Zertifizierungsstelle ausgestellt werden.

Für Zertifikate, die von #A0 ausgestellt werden, wird der Gültigkeitszeitraum in der Vorlage definiert, die zum Erstellen des Zertifikats verwendet wird. Windows 2000 und Windows Server 2003 Standard Edition unterstützen keine Änderung dieser Vorlagen. Windows Server 2003 Enterprise Edition unterstützt Zertifikatvorlagen der Version 2, die geändert werden können. Der in der Vorlage definierte Gültigkeitszeitraum gilt für alle Zertifikate, die von einer Beliebigen Unternehmens-CA in der Active Directory-Gesamtstruktur ausgestellt wurden. Ein von einer Zertifizierungsstelle ausgestelltes Zertifikat ist mindestens für die folgenden Zeiträume gültig:

  • Die Registrierungsgültigkeitsdauer, die weiter oben in diesem Artikel erwähnt wurde.

    Dies gilt für die von der Unternehmens zertifizierungsstelle ausgestellten Zertifikate der eigenständigen zertifizierungsstelle und der untergeordneten Zertifizierungsstelle.

  • Der Gültigkeitszeitraum der Vorlage.

Dies gilt für die Enterprise-Zertifizierungsstelle. Von Windows 2000 und Windows Server 2003 Standard Edition unterstützte Vorlagen können nicht geändert werden. Vorlagen, die von Windows Server Enterprise Edition (Vorlagen der Version 2) unterstützt werden, unterstützen Änderungen.

Für eine Unternehmens-CA wird die Gültigkeitsdauer eines ausgestellten Zertifikats auf das Minimum aller folgenden Bedingungen festgelegt:

  • Die Registrierungsgültigkeitsdauer der Zertifizierungsstelle (z. B.: ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Gültigkeitszeitraum der Vorlage
  • Der verbleibende Gültigkeitszeitraum des Signaturzertifikats der Zertifizierungsstelle
  • Wenn das EDITF_ATTRIBUTEENDDATE-Bit im Registrierungswert "EditFlags" des Richtlinienmoduls aktiviert ist, wird der gültigkeitszeitraum, der durch die Anforderungsattribute angegeben wird (ExpirationDate:Date oder ValidityPeriod:Years\nValidityPeriodUnits:1)

Hinweis

  • Die Syntax "ExpirationDate:Date" wurde erst ab Windows Server 2008 unterstützt.
  • Bei einer eigenständigen Zertifizierungsstelle werden keine Vorlagen verarbeitet. Daher gilt der Gültigkeitszeitraum der Vorlage nicht.

Ablaufdatum des Zertifizierungsstellenzertifikats

Eine Zertifizierungsstelle kann kein Zertifikat mit einer längeren Gültigkeitsdauer aus ausgestellt als das eigene Zertifizierungsstellenzertifikat.

Hinweis

Der Name des Anforderungsattributs besteht aus Wertzeichenfolgenpaaren, die die Anforderung begleiten und den Gültigkeitszeitraum angeben. Standardmäßig wird dies durch eine Registrierungseinstellung nur für eine eigenständige Zertifizierungsstelle aktiviert.

Ändern des Ablaufdatums von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden

Führen Sie die folgenden Schritte aus, um die Einstellungen für den Gültigkeitszeitraum für eine Zertifizierungsstelle zu ändern.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  1. Klicken Sie auf Start und anschließend auf Ausführen.

  2. Geben Sie im Feld "Öffnen" "regedit" ein, und klicken Sie dann auf "OK".

  3. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie dann auf den folgenden Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. Doppelklicken Sie im rechten Bereich auf "ValidityPeriod".

  5. Geben Sie im Feld "Wert" einen der folgenden Werte ein, und klicken Sie dann auf "OK":

    • Tage
    • Wochen
    • Monate
    • Jahre
  6. Doppelklicken Sie im rechten Bereich auf "ValidityPeriodUnits".

  7. Geben Sie im Feld "Wert" den numerischen Wert ein, den Sie verwenden möchten, und klicken Sie dann auf "OK". Geben Sie beispielsweise 2 ein.

  8. Beenden Sie den Zertifikatdienstedienst, und starten Sie ihn neu. Gehen Sie hierzu folgendermaßen vor:

    1. Klicken Sie auf Start und dann auf Ausführen.

    2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie dann auf OK.

    3. Geben Sie an der Eingabeaufforderung die folgenden Zeilen ein. Drücken Sie nach jeder Zeile die EINGABETASTE.

      net stop certsvc
      net start certsvc
      
    4. Geben Sie exit ein, um die Eingabeaufforderung zu beenden.