Udostępnij za pośrednictwem


Zmienianie daty wygaśnięcia certyfikatów wystawionych przez urząd certyfikacji

W tym artykule opisano sposób zmiany okresu ważności certyfikatu wystawionego przez urząd certyfikacji.

Oryginalny numer KB: 254632

Podsumowanie

Domyślnie okres istnienia certyfikatu wystawionego przez autonomiczny urząd certyfikacji wynosi jeden rok. Po upływie jednego roku certyfikat wygasa i nie jest zaufany do użycia. Mogą wystąpić sytuacje, w których trzeba zastąpić domyślną datę wygaśnięcia certyfikatów wystawionych przez pośredni lub wystawiający urząd certyfikacji.

Okres ważności zdefiniowany w rejestrze ma wpływ na wszystkie certyfikaty wystawione przez autonomiczne i urzędy certyfikacji przedsiębiorstwa. W przypadku urzędów certyfikacji przedsiębiorstwa domyślne ustawienie rejestru wynosi dwa lata. W przypadku autonomicznych urzędów certyfikacji domyślne ustawienie rejestru to jeden rok. W przypadku certyfikatów wystawionych przez autonomiczne urzędy certyfikacji okres ważności jest określany przez wpis rejestru opisany w dalszej części tego artykułu. Ta wartość dotyczy wszystkich certyfikatów wystawionych przez urząd certyfikacji.

W przypadku certyfikatów wystawionych przez urzędy certyfikacji przedsiębiorstwa okres ważności jest definiowany w szablonie używanym do tworzenia certyfikatu. Systemy Windows 2000 i Windows Server 2003 Standard Edition nie obsługują modyfikacji tych szablonów. System Windows Server 2003 Enterprise Edition obsługuje szablony certyfikatów w wersji 2, które można modyfikować. Okres ważności zdefiniowany w szablonie ma zastosowanie do wszystkich certyfikatów wystawionych przez dowolny urząd certyfikacji przedsiębiorstwa w lesie usługi Active Directory. Certyfikat wystawiony przez urząd certyfikacji jest ważny przez co najmniej następujące okresy:

  • Okres ważności rejestru, który został zanotowany wcześniej w tym artykule.

    Dotyczy to autonomicznego urzędu certyfikacji i certyfikatów podrzędnego urzędu certyfikacji wystawionych przez urząd certyfikacji przedsiębiorstwa.

  • Okres ważności szablonu.

Dotyczy to urzędu certyfikacji przedsiębiorstwa. Nie można modyfikować szablonów obsługiwanych przez systemy Windows 2000 i Windows Server 2003 Standard Edition. Szablony obsługiwane przez system Windows Server Enterprise Edition (szablony w wersji 2) obsługują modyfikację.

W przypadku urzędu certyfikacji przedsiębiorstwa okres ważności wystawionego certyfikatu jest ustawiony na minimum wszystkich następujących elementów:

  • Okres ważności rejestru urzędu certyfikacji (na przykład: ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Okres ważności szablonu
  • Pozostały okres ważności certyfikatu podpisywania urzędu certyfikacji
  • Jeśli bit EDITF_ATTRIBUTEENDDATE jest włączony w wartości rejestru EditFlags modułu zasad, okres ważności określony za pomocą atrybutów żądania (ExpirationDate:Date lub ValidityPeriod:Years\nValidityPeriods:1)

Uwaga 16.

  • Składnia ExpirationDate:Date nie była obsługiwana do systemu Windows Server 2008.
  • W przypadku autonomicznego urzędu certyfikacji nie są przetwarzane żadne szablony. W związku z tym okres ważności szablonu nie ma zastosowania.

Data wygaśnięcia certyfikatu urzędu certyfikacji

Urząd certyfikacji nie może wystawiać certyfikatu z dłuższym okresem ważności niż własny certyfikat urzędu certyfikacji.

Uwaga 16.

Nazwa atrybutu żądania składa się z par ciągów wartości towarzyszących żądaniu i określających okres ważności. Domyślnie jest to włączone przez ustawienie rejestru tylko w autonomicznym urzędzie certyfikacji.

Zmiana daty wygaśnięcia certyfikatów wystawionych przez urząd certyfikacji

Aby zmienić ustawienia okresu ważności urzędu certyfikacji, wykonaj następujące kroki.

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

  2. W polu Otwórz wpisz regedit, a następnie kliknij przycisk OK.

  3. Odszukaj, a następnie kliknij następujący klucz rejestru:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. W okienku po prawej stronie kliknij dwukrotnie pozycję WażnośćPeriod.

  5. W polu Dane wartości wpisz jedną z następujących wartości, a następnie kliknij przycisk OK:

    • Dni
    • Tygodnie
    • Miesiące
    • Lata
  6. W okienku po prawej stronie kliknij dwukrotnie pozycję WażnośćPeriodUnits.

  7. W polu Dane wartości wpisz odpowiednią wartość liczbową, a następnie kliknij przycisk OK. Na przykład wpisz 2.

  8. Zatrzymaj, a następnie uruchom ponownie usługę usług certyfikatów. Aby to zrobić:

    1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom.

    2. W polu Otwórz wpisz cmd, a następnie kliknij przycisk OK.

    3. W wierszu polecenia wpisz następujące wiersze. Naciśnij ENTER po każdym wierszu.

      net stop certsvc
      net start certsvc
      
    4. Wpisz exit (Zakończ), aby zamknąć wiersz polecenia.