Planung von Zertifikat-Gültigkeit und Erneuerungs-Zeitraum von End-Entitäts-Zertifikaten mit Autoenrollment

Wird Autoenrollment verwendet, beantragen die Teilnehmer selbständig Zertifikate und erneuern diese auch selbständig.

Betreffend der Gültigkeit der Zertifikate und des Zeitraums für ihre automatische Erneuerung gibt es zwei Werte, die im Karteireiter "General" einer Zertifiikatvorlage konfiguriert werden können:

• Gültigkeitszeitraum (Validity period): Beschreibt die Gesamt-Gültigkeit des ausgestellten Zertifikats.
• Erneuerungszeitraum (Renewal period): Beschreibt, ab welchem Zeitfenster, rückwärts betrachtet vom Ablaufdatum des Zertifikats, die automatische Erneuerung erstmals versucht wird (z.B. 6 Wochen vor Ablauf).

Der in der Zertifikatvorlage konfigurierte Wert für den Gültigkeitszeitraum kann von weiteren Faktoren überstimmt werden. Nähere Informationen hierzu im Artikel "Den maximalen Gültigkeitszeitraum für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren".

Die "Renewal period" hat nur Auswirkungen auf Zertifikatvorlagen, welche mit Autoenrollment beantragt oder erneuert werden. Zertifikatvorlagen, deren Zertifikatanforderungen manuell gestellt werden, wie es beispielsweise bei Web Servern üblich ist, können diesen Wert nicht nutzen. Daher ist er bei solchen Zertifikatvorlagen auch nicht relevant.

Bei Client-Zertifikaten beispielsweise ist zentrale Frage, die man sich betreffend der Zertifikat-Gültigkeit zunächst stellen sollte: welchen Zeitraum kann ich den Benutzern garantieren, indem sie keinen Kontakt zur Zertifizierungsstelle haben? Dieser Zeitraum bestimmt, wie früh (in Hinsicht auf den bevorstehenden Ablauf des Zertifikats) mit der Erneuerung begonnen werden muss. Client-Computer sind nicht immer dauerhaft mit dem Netzwerk verbunden – Benutzer gehen in Urlaub, arbeiten vielleicht oft ohne VPN, oder das Gerät liegt als Ersatzhardware bereit.

Die offizielle Dokumentation betreffend des Erneuerungszeitraumes (Renewal Period) besagt nämlich folgendes:

The minimum renewal period is 80 percent of the certificate lifetime or six weeks, whichever is greater.

Dies bedeutet, dass immer erst 80% der Gültigkeit des Zertifikats verstrichen sein müssen, bevor eine Erneuerung des Zertifikats versucht wird.

Die Renewal Period muss also mindestens dem Zeitraum entsprechen, welcher für eine Offline-Nutzung garantiert werden kann. Da dieser Wert höchstens 20% der Gesamt-Gültigkeit des Zertifikats ausmacht, bestimmt er diese somit auch den Minimalwert für die Gesamt-Gültigkeit eines Zertifikats.

Möchte man beispielsweise drei Monate für die Erneuerung garantieren, muss das Zertifikat eine Gesamt-Gültigkeit von 15 Monaten aufweisen.

Bitte jedoch beachten, dass die Renewal Period auch bei kurzlebigen Zertifikaten nicht geringer als 8 Stunden sein sollte. Der Auslöser für eine Neubeantragung wird nämlich im ungünstigsten Fall nur alle acht Stunden ausgelöst. Siehe hierzu Artikel "Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)".

Eine lange Zertifikatgültigkeit bedeutet auch, dass widerrufene Zertifikate länger auf der Sperrliste vorgehalten werden müssen, was entsprechend deren Größe steigert und somit eventuell höhere Netzwerklast und Ladezeiten für mit Zertifikaten geschützte Ressourcen bedeuten kann. Die Prämisse sollte immer lauten: So kurz wie möglich, so lange wie nötig.

Weiterführende Links:

• Über Virtual Private Network (VPN) verbundene Clients erneuern Zertifikate nicht automatisch
• Den maximalen Gültigkeitszeitraum für von einer Zertifizierungsstelle ausgestellte Zertifikate konfigurieren
• Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM)

Externe Quellen

• Administering Certificate Templates (Microsoft)