Ändern des Ablaufdatums von Zertifikaten, die von der Zertifizierungsstelle ausgestellt werden

In diesem Artikel wird beschrieben, wie Sie die Gültigkeitsdauer eines Zertifikats ändern, das von der Zertifizierungsstelle ausgestellt wird.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 254632

Zusammenfassung

Standardmäßig beträgt die Lebensdauer eines Zertifikats, das von einer eigenständigen Zertifizierungsstelle ausgestellt wird, ein Jahr. Nach einem Jahr läuft das Zertifikat ab und wird nicht als vertrauenswürdig eingestuft. Es kann Situationen geben, in denen Sie das Standardablaufdatum für Zertifikate außer Kraft setzen müssen, die von einer Zwischen- oder ausstellenden Zertifizierungsstelle ausgestellt werden.

Der in der Registrierung definierte Gültigkeitszeitraum wirkt sich auf alle Zertifikate aus, die von eigenständigen Zertifizierungsstellen und Unternehmenszertifizierungsstellen ausgestellt werden. Für Unternehmenszertifizierungsstellen beträgt die Standardregistrierungseinstellung zwei Jahre. Für eigenständige Zertifizierungsstellen beträgt die Standardregistrierungseinstellung ein Jahr. Bei Zertifikaten, die von eigenständigen Zertifizierungsstellen ausgestellt werden, wird die Gültigkeitsdauer durch den Registrierungseintrag bestimmt, der weiter unten in diesem Artikel beschrieben wird. Dieser Wert gilt für alle Zertifikate, die von der Zertifizierungsstelle ausgestellt werden.

Für Zertifikate, die von Enterprise-Zertifizierungsstellen ausgestellt werden, wird der Gültigkeitszeitraum in der Vorlage definiert, die zum Erstellen des Zertifikats verwendet wird. Windows 2000 und Windows Server 2003 Standard Edition unterstützen keine Änderungen dieser Vorlagen. Windows Server 2003 Enterprise Edition unterstützt Zertifikatvorlagen der Version 2, die geändert werden können. Der in der Vorlage definierte Gültigkeitszeitraum gilt für alle Zertifikate, die von einer Unternehmenszertifizierungsstelle in der Active Directory-Gesamtstruktur ausgestellt wurden. Ein zertifikat, das von einer Zertifizierungsstelle ausgestellt wird, ist mindestens für die folgenden Zeiträume gültig:

• Die Gültigkeitsdauer der Registrierung, die weiter oben in diesem Artikel angegeben ist.

  Dies gilt für die von der Unternehmenszertifizierungsstelle ausgestellten Zertifikate der eigenständigen Und untergeordneten Zertifizierungsstelle.

• Der Gültigkeitszeitraum der Vorlage.

Dies gilt für die Unternehmenszertifizierungsstelle. Von Windows 2000 und Windows Server 2003 Standard Edition unterstützte Vorlagen können nicht geändert werden. Vorlagen, die von Windows Server Enterprise Edition (Vorlagen der Version 2) unterstützt werden, unterstützen Änderungen.

Für eine Unternehmenszertifizierungsstelle wird die Gültigkeitsdauer eines ausgestellten Zertifikats auf den Mindestwert von allen folgenden Zertifikaten festgelegt:

• Die Gültigkeitsdauer der Registrierung der Zertifizierungsstelle (z. B. ValidityPeriod == Years, ValidityPeriodUnits == 1)
• Gültigkeitsdauer der Vorlage
• Der verbleibende Gültigkeitszeitraum des Signaturzertifikats der Zertifizierungsstelle
• Wenn das EDITF_ATTRIBUTEENDDATE Bit im EditFlags-Registrierungswert des Richtlinienmoduls aktiviert ist, wird der durch die Anforderungsattribute angegebene Gültigkeitszeitraum (ExpirationDate:Date oder ValidityPeriod:Years\nValidityPeriodUnits:1) angegeben.

Hinweis

• Die Syntax ExpirationDate:Date wurde vor Windows Server 2008 nicht unterstützt.
• Für eine eigenständige Zertifizierungsstelle werden keine Vorlagen verarbeitet. Daher gilt der Gültigkeitszeitraum der Vorlage nicht.

Das Ablaufdatum des Zertifizierungsstellenzertifikats

Eine Zertifizierungsstelle kann kein Zertifikat mit einer längeren Gültigkeitsdauer als ihr eigenes Zertifizierungsstellenzertifikat ausstellen.

Hinweis

Der Name des Anforderungsattributs besteht aus Wertzeichenfolgenpaaren, die die Anforderung begleiten und den Gültigkeitszeitraum angeben. Standardmäßig wird dies nur durch eine Registrierungseinstellung für eine eigenständige Zertifizierungsstelle aktiviert.

Ändern des Ablaufdatums von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden

Führen Sie die folgenden Schritte aus, um die Einstellungen für den Gültigkeitszeitraum für eine Zertifizierungsstelle zu ändern.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

1. Klicken Sie auf Start und anschließend auf Ausführen.

2. Geben Sie im Feld Öffnenden Namen regedit ein, und klicken Sie dann auf OK.

3. Suchen Sie den folgenden Registrierungsschlüssel, und klicken Sie dann auf den folgenden Registrierungsschlüssel:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

4. Doppelklicken Sie im rechten Bereich auf GültigkeitPeriod.

5. Geben Sie im Feld Wert einen der folgenden Werte ein, und klicken Sie dann auf OK:

   • Tage
   • Wochen
   • Monate
   • Jahre

6. Doppelklicken Sie im rechten Bereich auf ValidityPeriodUnits.

7. Geben Sie im Feld Wertdaten den gewünschten numerischen Wert ein, und klicken Sie dann auf OK. Geben Sie beispielsweise 2 ein.

8. Beenden Sie den Zertifikatdienst, und starten Sie ihn dann neu. Gehen Sie hierzu folgendermaßen vor:

   1. Klicken Sie auf Start und anschließend auf Ausführen.

   2. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie dann auf OK.

   3. Geben Sie an der Eingabeaufforderung die folgenden Zeilen ein. Drücken Sie nach jeder Zeile die EINGABETASTE.

      net stop certsvc
      net start certsvc
      

   4. Geben Sie exit ein, um die Eingabeaufforderung zu beenden.