Cambiar la fecha de expiración de los certificados emitidos por la entidad de certificación

En este artículo se describe cómo cambiar el período de validez de un certificado emitido por la entidad de certificación (CA).

Versión original del producto:   Windows 10: todas las ediciones, Windows Server 2012 R2
Número KB original:   254632

Resumen

De forma predeterminada, la duración de un certificado emitido por una entidad de certificación independiente es de un año. Después de un año, el certificado expira y no es de confianza para su uso. Puede haber situaciones en las que tenga que invalidar la fecha de expiración predeterminada para los certificados emitidos por una CA intermedia o emisora.

El período de validez definido en el Registro afecta a todos los certificados emitidos por CA independientes y de empresa. Para ca de empresa, la configuración predeterminada del Registro es de dos años. En el caso de las CA independientes, la configuración predeterminada del Registro es de un año. Para los certificados emitidos por CA independientes, el período de validez viene determinado por la entrada del Registro que se describe más adelante en este artículo. Este valor se aplica a todos los certificados emitidos por la CA.

Para los certificados emitidos por ca de empresa, el período de validez se define en la plantilla que se usa para crear el certificado. Windows 2000 y Windows Server 2003 Standard Edition no admiten la modificación de estas plantillas. Windows Server 2003 Enterprise Edition admite plantillas de certificado de la versión 2 que se pueden modificar. El período de validez definido en la plantilla se aplica a todos los certificados emitidos por cualquier CA de empresa en el bosque de Active Directory. Un certificado emitido por una CA es válido durante el mínimo de los siguientes períodos de tiempo:

  • Período de validez del Registro que se indica anteriormente en este artículo.

    Esto se aplica a los certificados de CA independientes y subordinados emitidos por la CA de empresa.

  • Período de validez de la plantilla.

Esto se aplica a la CA de empresa. Las plantillas compatibles con Windows 2000 y Windows Server 2003 Standard Edition no se pueden modificar. Las plantillas compatibles con Windows Server Enterprise Edition (plantillas de la versión 2) admiten la modificación.

Para una CA de empresa, el período de validez de un certificado emitido se establece en el mínimo de lo siguiente:

  • Período de validez del Registro de la CA (por ejemplo: ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Período de validez de la plantilla
  • Período de validez restante del certificado de firma de la CA
  • Si el bit EDITF_ATTRIBUTEENDDATE está habilitado en el valor del Registro EditFlags del módulo de directiva, el período de validez especificado a través de los atributos de solicitud (ExpirationDate:Date o ValidityPeriod:Years\nValidityPeriodUnits:1)

Nota

  • La sintaxis ExpirationDate:Date no se admite hasta Windows Server 2008.
  • Para una CA independiente, no se procesan plantillas. Por lo tanto, no se aplica el período de validez de la plantilla.

La fecha de expiración del certificado de ca

Una CA no puede emitir un certificado con un período de validez más largo que su propio certificado de CA.

Nota

El nombre del atributo de solicitud está configurado por pares de cadenas de valores que acompañan a la solicitud y que especifican el período de validez. De forma predeterminada, esta opción está habilitada por una configuración del Registro solo en una CA independiente.

Cambiar la fecha de expiración de los certificados emitidos por ca

Para cambiar la configuración del período de validez de una CA, siga estos pasos.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer una copia de seguridad y restaurar el Registro, vea Cómo hacer una copia de seguridad y restaurar el Registro en Windows.

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir, escriba regedit y, a continuación, haga clic en Aceptar.

  3. Busque y, a continuación, haga clic en la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. En el panel derecho, haga doble clic en ValidityPeriod.

  5. En el cuadro Datos del valor, escriba una de las siguientes opciones y, a continuación, haga clic en Aceptar:

    • Días
    • Semanas
    • Meses
    • Años
  6. En el panel derecho, haga doble clic en ValidityPeriodUnits.

  7. En el cuadro Datos del valor, escriba el valor numérico que desee y, a continuación, haga clic en Aceptar. Por ejemplo, escriba 2.

  8. Detenga y, a continuación, reinicie el servicio de servicios de certificados. Para ello:

    1. Haga clic en Inicio y, a continuación, en Ejecutar.

    2. En el cuadro Abrir, escriba cmd y, a continuación, haga clic en Aceptar.

    3. En el símbolo del sistema, escriba las siguientes líneas. Presione ENTRAR después de cada línea.

      net stop certsvc
      net start certsvc
      
    4. Escriba exit para salir del símbolo del sistema.