Bei bestehenden Public Key Infrastrukturen mag man vielleicht feststellen, dass die Gültigkeit des Stammzertifizierungsstellen-Zertifikats sich nicht bewährt hat. Beispielsweise könnte es sein, dass es zu kurz gewählt wurde (die Standardeinstellung der Microsoft ADCS ist nur fünf Jahre), oder gar zu lang, was vielleicht aus Sicherheitsaspekten nicht optimal ist.
Erneuert man das Zertifizierungsstellen-Zertifikat, möchte man somit vielleicht eine andere Gültigkeitsdauer erreichen.
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Die Stammzertifizierungsstelle signiert sich selbst. Daher ist die Konfiguration betreffend ihrer Erneuerung nicht in der Registry zu finden, sondern in der Datei capolicy.inf, die auch während der Installation einer Zertifizierungsstelle zum Einsatz kommt.
Sie liegt im Windows-Verzeichnis, also in der Regel unter "C:\Windows\capolicy.inf".
Ist sie nicht vorhanden, muss sie zunächst erstellt werden.
Die Datei muss mit ANSI Kodierung abgespeichert werden. Die Bezeichnung "ANSI" entspricht im Windows-Ökosystem dem Zeichencode Windows-1252 (Latin-1, Westeuropäisch).
| Option | Beschreibung | Beispielwert |
|---|---|---|
| RenewalKeyLength | Die Schlüssellänge, sollte die Erneuerung mit einem neuen Schlüsselpaar erfolgen. | 4096 |
| RenewalValidityPeriod | Die zeitliche Einheit für die Gültigkeit des neuen Zertifizierungsstellen-Zertifikats. | Years |
| RenewalValidityPeriodUnits | Die Anzahl der zeitlichen Einheiten für die Gültigkeit des neuen Zertifizierungsstellen-Zertifikats. | 10 |
Eine minimale Konfigurationsdatei könnte somit wie folgt aussehen:
[Version]
Signature= "$Windows NT$"
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
Über "RenewalValidityPeriod" und "RenewalValidityPeriosUnits" kann somit gesteuert werden, wie lange das neue Zertifizierungsstellen-Zertifikat gültig sein soll. Somit kann ein Zertifizierungsstellen-Zertifikat bei seiner Erneuerung entweder eine längere oder kürzere Gültigkeit als zuvor erhalten.
Es gibt hier jedoch eine Besonderheit zu beachten: Ein darauffolgendes Zertifizierungsstellen-Zertifikat kann niemals eine kürzere Gültigkeit haben als das vorige. Eine Verkürzung ist somit durchaus möglich, aber nicht, wenn das Enddatum des neuen Zertifikats vor dem des vorhergehenden liegen würde.
Deutsch 
English