Поделиться через

Изменение даты окончания срока действия сертификатов, выданных центром сертификации

В этой статье описывается изменение срока действия сертификата, выданного центром сертификации (ЦС).

Исходный номер базы знаний: 254632

Итоги

По умолчанию время существования сертификата, выданного автономным центром сертификации, составляет один год. После одного года срок действия сертификата истекает и не является доверенным для использования. Могут возникнуть ситуации, когда необходимо переопределить дату окончания срока действия по умолчанию для сертификатов, выданных промежуточным или выдаваемым ЦС.

Срок действия, определенный в реестре, влияет на все сертификаты, выданные автономными и корпоративными центрами сертификации. Для корпоративных ЦС параметр реестра по умолчанию составляет два года. Для автономных ЦС параметр реестра по умолчанию составляет один год. Для сертификатов, выданных автономными центрами сертификации, срок действия определяется записью реестра, описанной далее в этой статье. Это значение применяется ко всем сертификатам, выданным ЦС.

Для сертификатов, выданных корпоративными центрами сертификации, срок действия определяется в шаблоне, который используется для создания сертификата. Windows 2000 и Windows Server 2003 выпуск Standard не поддерживают изменение этих шаблонов. Windows Server 2003 выпуск Enterprise поддерживает шаблоны сертификатов версии 2, которые можно изменить. Срок действия, определенный в шаблоне, применяется ко всем сертификатам, выданным любым корпоративным ЦС в лесу Active Directory. Сертификат, выданный ЦС, действителен как минимум в течение следующих периодов времени:

  • Срок действия реестра, указанный ранее в этой статье.

    Это относится к автономным ЦС и подчиненным сертификатам ЦС, выданным корпоративным ЦС.

  • Срок действия шаблона.

Это относится к ЦС Enterprise. Шаблоны, поддерживаемые Windows 2000 и Windows Server 2003 выпуск Standard, не могут быть изменены. Шаблоны, поддерживаемые windows Server выпуск Enterprise (шаблоны версии 2), поддерживают изменение.

Для корпоративного ЦС срок действия выданного сертификата равен минимуму всех следующих значений:

  • Срок действия реестра ЦС (например, ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Срок действия шаблона
  • Оставшийся срок действия сертификата подписи ЦС
  • Если EDITF_ATTRIBUTEENDDATE бит включен в значении реестра EditFlags модуля политики, срок действия, указанный атрибутами запроса (DateDate:Date или ValidityPeriod:Years\nValidityPeriodUnits:1)

Примечание.

  • Синтаксис DateDate:Date не поддерживается до Windows Server 2008.
  • Для автономного ЦС не обрабатываются шаблоны. Поэтому срок действия шаблона не применяется.

Дата окончания срока действия сертификата ЦС

ЦС не может выдавать сертификат с более длительным сроком действия, чем собственный сертификат ЦС.

Примечание.

Имя атрибута запроса состоит из пар строк значений, которые сопровождают запрос и указывают срок действия. По умолчанию этот параметр включен только параметром реестра в автономном ЦС.

Изменение даты окончания срока действия сертификатов, выданных ЦС

Чтобы изменить параметры срока действия ЦС, выполните следующие действия.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.

  1. В меню Пуск выберите пункт Выполнить.

  2. В поле "Открыть" введите regedit и нажмите кнопку "ОК".

  3. Найдите и откройте следующий раздел реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. В правой области дважды щелкните "Допустимость"Period.

  5. В поле "Значение" введите одно из следующих значений и нажмите кнопку "ОК".

    • Дни
    • Неделянедели
    • Месяцы
    • Годы

  6. В правой области дважды щелкните ValidityPeriodUnits.

  7. В поле "Значение" введите нужное числовое значение и нажмите кнопку "ОК". Например, введите 2.

  8. Остановите и перезапустите службу служб сертификатов. Для этого:

    1. В меню Пуск выберите пункт Выполнить.

    2. В поле "Открыть" введите cmd и нажмите кнопку "ОК".

    3. В командной строке введите следующие строки. Нажмите клавишу ВВОД после каждой строки.

      net stop certsvc
net start certsvc

    4. Введите выход из командной строки.