Compartilhar via

Alterar a data de expiração dos certificados emitidos pela Autoridade de Certificação

Este artigo descreve como alterar o período de validade de um certificado emitido pela Autoridade de Certificação (CA).

Número original do KB: 254632

Resumo

Por padrão, o tempo de vida de um certificado emitido por uma autoridade de certificação autônoma é de um ano. Após um ano, o certificado expira e não é confiável para uso. Pode haver situações em que você precise substituir a data de expiração padrão para certificados emitidos por uma autoridade de certificação intermediária ou emissora.

O período de validade definido no registro afeta todos os certificados emitidos por autoridades de certificação autônomas e corporativas. Para CAs corporativas, a configuração padrão do Registro é de dois anos. Para CAs autônomas, a configuração padrão do Registro é de um ano. Para certificados emitidos por autoridades de certificação autônomas, o período de validade é determinado pela entrada do Registro descrita posteriormente neste artigo. Esse valor se aplica a todos os certificados emitidos pela autoridade de certificação.

Para certificados emitidos por autoridades de certificação corporativas, o período de validade é definido no modelo usado para criar o certificado. O Windows 2000 e o Windows Server 2003 Standard Edition não oferecem suporte à modificação desses modelos. O Windows Server 2003 Enterprise Edition oferece suporte a modelos de certificado Versão 2 que podem ser modificados. O período de validade definido no modelo se aplica a todos os certificados emitidos por qualquer autoridade de certificação corporativa na floresta do Active Directory. Um certificado emitido por uma autoridade de certificação é válido pelo mínimo dos seguintes períodos:

  • O período de validade do registro observado anteriormente neste artigo.

    Isso se aplica à CA autônoma e aos certificados de CA subordinados emitidos pela CA corporativa.

  • O período de validade do modelo.

Isso se aplica à autoridade de certificação corporativa. Os modelos com suporte do Windows 2000 e do Windows Server 2003 Standard Edition não podem ser modificados. Os modelos compatíveis com os modelos do Windows Server Enterprise Edition (versão 2) dão suporte à modificação.

Para uma autoridade de certificação corporativa, o período de validade de um certificado emitido é definido como o mínimo de todos os itens a seguir:

  • O período de validade do Registro da autoridade de certificação (por exemplo: ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • O período de validade do modelo
  • O período de validade restante do certificado de assinatura da autoridade de certificação
  • Se o bit EDITF_ATTRIBUTEENDDATE estiver habilitado no valor do Registro EditFlags do módulo de política, o período de validade especificado por meio dos atributos de solicitação (ExpirationDate:Date ou ValidityPeriod:Years\nValidityPeriodUnits:1)

Observação

  • A sintaxe ExpirationDate:Date não tinha suporte até o Windows Server 2008.
  • Para uma autoridade de certificação autônoma, nenhum modelo é processado. Portanto, o período de validade do modelo não se aplica.

A data de expiração do certificado CA

Uma autoridade de certificação não pode emitir um certificado com um período de validade mais longo do que seu próprio certificado de autoridade de certificação.

Observação

O nome do Atributo de Solicitação é composto de pares de cadeia de caracteres de valor que acompanham a solicitação e que especificam o período de validade. Por padrão, isso é habilitado por uma configuração do Registro somente em uma autoridade de certificação autônoma.

Alterar a data de expiração dos certificados emitidos pela CA

Para alterar as configurações de período de validade de uma autoridade de certificação, siga estas etapas.

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

  1. Clique em Iniciar e em Executar.

  2. Na caixa Abrir, digite regedit e clique em OK.

  3. Localize e clique na seguinte chave do Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. No painel direito, clique duas vezes em ValidityPeriod.

  5. Na caixa Dados do valor, digite uma das seguintes opções e clique em OK:

    • Days (dias)
    • Weeks
    • Months
    • Anos

  6. No painel direito, clique duas vezes em ValidityPeriodUnits.

  7. Na caixa Dados do valor, digite o valor numérico desejado e clique em OK. Por exemplo, digite 2.

  8. Pare e reinicie o serviço de Serviços de Certificados. Para fazer isso:

    1. Clique em Iniciar e em Executar.

    2. Na caixa Abrir, digite cmd e clique em OK.

    3. No prompt de comando, digite as seguintes linhas. Pressione ENTER após cada linha.

      net stop certsvc
net start certsvc

    4. Digite exit para sair do prompt de comando.