Mufasa 0 Geschrieben 30. Januar 2014 Melden Teilen Geschrieben 30. Januar 2014 (bearbeitet) Ich stehe vor einem Problem mit meiner PKI Szenario (2 Schichten PKI): StammCA (eigenständige Zertifizierungsstelle) --> SubCA (Unternehmenszertifizierungsstelle) Die SubCA stellt die Zertifikate gemäß GP für die Domäne aus. Die SubCA wurde beim erstellen mit einer Gültigkeit von 1 Jahr erstellt. Problem: Ich muss nun 2 Zertifikate erstellen die eine Gültigkeit von 5 - 10 Jahren haben, was natürlich nicht funktioniert da die SubCA nur 1 Jahr gültig ist. Ich finde auf der StammCA keine Vorlagenverwaltung um die SubCA Vorlage zu duplizieren und zu verlängern/verändern. Ich kann die Vorlagenverwaltung von der SubCA bearbeiten. Jedoch wenn ich dann das SubCA-Zertifikat erneuern will nimmt er nicht die geänderte Vorlage sondern die von der StammCA. Gibt es eine Möglichkeit die Gültigkeit meiner SubCA zu verlängern bzw wie stelle ich das an. Gruß Mufasa Edit: Ich will nicht die Gültigkeit verlängern sondern die Dauer der Gültigkeit der SubCA bearbeitet 30. Januar 2014 von Mufasa Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 30. Januar 2014 Melden Teilen Geschrieben 30. Januar 2014 Moin, ohne Deine PKI im Detail zu kennen, kann ich nur allgemeine Hinweise geben. Grundsätzlich musst Du von Root CA ein neues Zertifikat für die Sub CA anfordern. Der Request wird auf der Sub CA erstellt. Zertifikatsvorlagen gibt es nur bei AD Integrierten CAs. Vorher musst/solltest Du die CAPolicy.inf im Windows Verzeichnis Deinen Bedürfnissen entsprechend anpassen. Beispiel: ... [certsrv_server] renewalkeylength=2048 RenewalValidityPeriodUnits=10 RenewalValidityPeriod=years ... http://blogs.technet.com/b/askds/archive/2009/10/15/windows-server-2008-r2-capolicy-inf-syntax.aspx Die maximale Gültigkeit von Zertifikaten der Sub CA kann wie folgt angepasst werden: certutil -setreg CA\ValidityPeriodUnits 2 certutil -setreg CA\ValidityPeriod "Years" net stop certsvc & net start certsvc Bei 'ValidityPeriodeUnits' dann Deine Präferenz eintragen. Zitieren Link zu diesem Kommentar
Mufasa 0 Geschrieben 3. Februar 2014 Autor Melden Teilen Geschrieben 3. Februar 2014 Entschuldige meine späte Antwort, hatten letzte Woche noch ein dringenden Haveriefall. Die SubCA ist AD-integriert, die RootCA nicht. Da die CAPolicy.inf nicht existiert, denke ich das ich sie erstellen muss. Kann man die Datei nachträglich erstellen auch wenn die PKI bereits arbeitet und Zertifikate ausgestellt hat? Gruß Mufasa Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 3. Februar 2014 Melden Teilen Geschrieben 3. Februar 2014 Moin, ich war bisher noch nicht in der Situation die CAPolicy.inf nachträglich erstellen zu müssen. Es könnte klappen, oder auch nicht. Erstelle die Datei einfach und starte den Dienst certsvc einmal neu bevor Du die Erneuerung des SubCA Zertifikats beantragst. Auf der Root CA solltest Du vor dem einreichen der Erneuerung die definierte Gültigkeit von ausgestellten Zertifikaten prüfen und diese ggf. anpassen. Mit folgenden Befehlen kannst Du Dir die Werte anzeigen lassen: certutil -getreg CA\ValidityPeriodUnits certutil -getreg CA\ValidityPeriod Bei Bedarf kannst Du die Werte wie oben beschrieben mit 'certutil -setreg ...' anpassen. Danach den Dienst neu starten. Ein Backup der beiden Zertifizierungsstellen vor der Aktion kann auch nicht schaden http://blogs.technet.com/b/pki/archive/2010/04/20/disaster-recovery-procedures-for-the-active-directory-certificate-services-adcs.aspx Zitieren Link zu diesem Kommentar
Mufasa 0 Geschrieben 5. Februar 2014 Autor Melden Teilen Geschrieben 5. Februar 2014 Danke hat alles funktioniert und bis jetzt keine Probleme :thumb1: Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 5. Februar 2014 Melden Teilen Geschrieben 5. Februar 2014 :) Danke für die Rückmeldung Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.