Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment modifier la période de validité d’un certificat émis par l’autorité de certification.
Numéro de base de connaissances d’origine : 254632
Résumé
Par défaut, la durée de vie d’un certificat émis par une autorité de certification autonome est d’un an. Après un an, le certificat expire et n’est pas approuvé pour une utilisation. Il peut arriver que vous deviez remplacer la date d’expiration par défaut des certificats émis par un intermédiaire ou une autorité de certification émettrice.
La période de validité définie dans le Registre affecte tous les certificats émis par les autorités de certification autonomes et d’entreprise. Pour les autorités de certification d’entreprise, le paramètre de Registre par défaut est de deux ans. Pour les autorités de certification autonomes, le paramètre de Registre par défaut est d’un an. Pour les certificats émis par les autorités de certification autonomes, la période de validité est déterminée par l’entrée de Registre décrite plus loin dans cet article. Cette valeur s’applique à tous les certificats émis par l’autorité de certification.
Pour les certificats émis par les autorités de certification d’entreprise, la période de validité est définie dans le modèle utilisé pour créer le certificat. Windows 2000 et Windows Server 2003 Édition Standard ne prennent pas en charge la modification de ces modèles. Windows Server 2003 Êdition Entreprise prend en charge les modèles de certificat version 2 qui peuvent être modifiés. La période de validité définie dans le modèle s’applique à tous les certificats émis par une autorité de certification d’entreprise dans la forêt Active Directory. Un certificat émis par une autorité de certification est valide pour le minimum des périodes suivantes :
Période de validité du Registre indiquée précédemment dans cet article.
Cela s’applique aux certificats d’autorité de certification autonomes et d’autorité de certification subordonnés émis par l’autorité de certification d’entreprise.
Période de validité du modèle.
Cela s’applique à l’autorité de certification d’entreprise. Les modèles pris en charge par Windows 2000 et Windows Server 2003 Édition Standard ne peuvent pas être modifiés. Les modèles pris en charge par windows Server Êdition Entreprise (modèles version 2) prennent en charge la modification.
Pour une autorité de certification d’entreprise, la période de validité d’un certificat émis est définie sur le minimum de tous les éléments suivants :
- Période de validité du registre de l’autorité de certification (par exemple : ValidityPeriod == Years, ValidityPeriodUnits == 1)
- Période de validité du modèle
- Période de validité restante du certificat de signature de l’autorité de certification
- Si le bit EDITF_ATTRIBUTEENDDATE est activé dans la valeur de Registre EditFlags du module de stratégie, la période de validité spécifiée via les attributs de requête (ExpirationDate :Date ou ValidityPeriod :Years\nValidityPeriodUnits :1)
Note
- La syntaxe ExpirationDate :Date n’a pas été prise en charge tant que Windows Server 2008 n’a pas été prise en charge.
- Pour une autorité de certification autonome, aucun modèle n’est traité. Par conséquent, la période de validité du modèle ne s’applique pas.
Date d’expiration du certificat d’autorité de certification
Une autorité de certification ne peut pas émettre un certificat avec une période de validité plus longue que son propre certificat d’autorité de certification.
Note
Le nom de l’attribut de requête est constitué de paires de chaînes valeur qui accompagnent la requête et qui spécifient la période de validité. Par défaut, cela est activé par un paramètre de Registre sur une autorité de certification autonome uniquement.
Modifier la date d’expiration des certificats émis par l’autorité de certification
Pour modifier les paramètres de période de validité d’une autorité de certification, procédez comme suit.
Important
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations sur la sauvegarde et la restauration du registre, voir : Procédure de sauvegarde, de modification et de restauration du Registre dans Windows.
Cliquez sur Démarrer, puis sur Exécuter.
Dans la zone Ouvrir , tapez regedit, puis cliquez sur OK.
Recherchez la clé de Registre suivante, puis cliquez dessus :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>Dans le volet droit, double-cliquez sur ValidityPeriod.
Dans la zone de données Valeur, tapez l’une des options suivantes, puis cliquez sur OK :
- Jours
- Semaines
- Mois
- Années
Dans le volet droit, double-cliquez sur ValidityPeriodUnits.
Dans la zone de données Valeur, tapez la valeur numérique souhaitée, puis cliquez sur OK. Par exemple, tapez 2.
Arrêtez, puis redémarrez le service Services de certificats. Pour ce faire :
Cliquez sur Démarrer, puis sur Exécuter.
Dans la zone Ouvrir , tapez cmd, puis cliquez sur OK.
À l’invite de commandes, tapez les lignes suivantes. Appuyez sur Entrée après chaque ligne.
net stop certsvc net start certsvcTapez quitter l’invite de commandes.