Os certificados que minha CA da Microsoft está gerando não correspondem ao período de tempo indicado no modelo usado. Como posso resolver isto?
Eu criei recentemente um novo modelo de certificado para uso em minhas caixas Linux na minha CA da Microsoft (2008 R2 Enterprise). Este modelo é aprovado para fins de autenticação de servidor e cliente com um período de validade de 10 anos - o tempo de vida esperado de nossas caixas Linux - e o nome do assunto fornecido na solicitação. Eu verifiquei tanto a CA intermediária quanto a offline - ambas têm mais de 10 anos de vida listadas. Os certificados são exatamente dois anos.
Existe algum tipo de limite que estou atingindo aqui?
Por padrão, o ADCS está configurado para emitir certificados por no máximo 2 anos (independentemente do modelo ou da solicitação). Para alterar isso, basta executar os dois comandos a seguir (modifique conforme desejado):
certutil -setreg CA\ValidityPeriod "Years"
certutil -setreg CA\ValidityPeriodUnits 10
Em seguida, reinicie os serviços de certificado:
net stop certsvc
net start certsvc