Ändra förfallodatumet för certifikat som utfärdas av certifikatutfärdare

  • Artikel

Den här artikeln beskriver hur du ändrar giltighetsperioden för ett certifikat som utfärdas av certifikatutfärdare (CA).

Gäller för: Windows 10 – alla utgåvor, Windows Server 2012 R2
Ursprungligt KB-nummer: 254632

Sammanfattning

Som standard är livslängden för ett certifikat som utfärdas av en fristående certifikatutfärdare ca ett år. Efter ett år upphör certifikatet att gälla och är inte betrott för användning. Det kan finnas situationer när du måste åsidosätta standarddatum för förfallodatum för certifikat som utfärdas av en mellanliggande eller utfärdande certifikatutfärdare.

Giltighetsperioden som definieras i registret påverkar alla certifikat som utfärdas av fristående certifikatutfärdare och företagscertifikatutfärdare. För företagscertifikatutfärdare är standardinställningen för registret två år. För fristående certifikatutfärdare är standardinställningen för registret ett år. För certifikat som utfärdas av fristående certifikatutfärdare bestäms giltighetsperioden av registerposten som beskrivs senare i den här artikeln. Det här värdet gäller för alla certifikat som utfärdas av certifikatutfärdare.

För certifikat som utfärdas av företagscertifikatutfärdare definieras giltighetsperioden i mallen som används för att skapa certifikatet. Windows 2000 och Windows Server 2003 Standard Edition stöder inte ändring av dessa mallar. Windows Server 2003 Enterprise Edition stöder version 2-certifikatmallar som kan ändras. Giltighetsperioden som definieras i mallen gäller för alla certifikat som utfärdats av en företagscertifikatutfärdare i Active Directory-skogen. Ett certifikat som utfärdas av en certifikatutfärdare är giltigt under minst följande tidsperioder:

  • Registerets giltighetsperiod som anges tidigare i den här artikeln.

    Detta gäller för fristående CA- och underordnade CA-certifikat som utfärdats av företagscertifikatutfärdare.

  • Mallens giltighetsperiod.

Detta gäller för enterprise-CA:en. Mallar som stöds av Windows 2000 och Windows Server 2003 Standard Edition kan inte ändras. Mallar som stöds av Windows Server Enterprise Edition (version 2-mallar) stöder modifiering.

För en företagscertifikatutfärdare anges giltighetsperioden för ett utfärdat certifikat till minst följande:

  • Register giltighetsperioden för ca:n (till exempel : ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Mallens giltighetsperiod
  • Den återstående giltighetsperioden för signeringscertifikatet för certifikatutfärdare
  • Om den EDITF_ATTRIBUTEENDDATE biten är aktiverad i principmodulens Registervärde för EditFlags anges giltighetsperioden via begärandeattributen (ExpirationDate:Date eller ValidityPeriod:Years\nValidityPeriodUnits:1)

Obs!

  • Syntaxen ExpirationDate:Date stöds inte förrän Windows Server 2008.
  • För en fristående ca bearbetas inga mallar. Därför gäller inte mallens giltighetsperiod.

Förfallodatumet för CA-certifikatet

En certifikatutfärdare kan inte utfärda ett certifikat med en längre giltighetsperiod än sitt eget CA-certifikat.

Obs!

Namnet på begärandeattributet består av värdesträngspar som medföljer begäran och som anger giltighetsperioden. Som standard aktiveras detta av en registerinställning på en fristående certifikatutfärdare.

Ändra förfallodatum för certifikat som utfärdats av CA

Följ dessa steg om du vill ändra inställningarna för giltighetsperiod för en certifikatfärdare.

Viktigt

Det här avsnittet, metoden eller uppgiften innehåller steg som beskriver hur du ändrar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Mer information om hur du säkerhetskopierar och återställer registret finns i Hur du säkerhetskopierar och återställer registret i Windows.

  1. Klicka på Start och därefter på Kör.

  2. I rutan Öppna skriver du regedit och klickar sedan på OK.

  3. Leta upp och klicka sedan på följande registernyckel:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. Dubbelklicka på ValidityPeriod i den högra rutan.

  5. I rutan Värdedata skriver du något av följande och klickar sedan på OK:

    • Dagar
    • Veckor
    • Månader
    • År

  6. Dubbelklicka på ValidityPeriodUnits i den högra rutan.

  7. I rutan Värdedata skriver du det numeriska värde som du vill använda och klickar sedan på OK. Skriv till exempel 2.

  8. Stoppa och starta sedan om certificate services-tjänsten. Gör så här:

    1. Klicka på Start och därefter på Kör.

    2. I rutan Öppna skriver du cmd och klickar sedan på OK.

    3. Skriv följande rader i kommandotolken. Tryck på RETUR efter varje rad.

      net stop certsvc
net start certsvc

    4. Skriv avsluta för att avsluta kommandotolken.