Não é possível emitir certificados após ativar a SAN?

2

Eu tenho uma autoridade de certificação da Microsoft em execução, que não tem o campo da SAN ativado por padrão, então eu a habilitei

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

Antes disso, tudo funcionou normalmente. Depois de ativar o campo SAN, quando estou enviando uma solicitação de assinatura, estou recebendo este erro:

Your Request Id is XXX. The disposition message is “Denied by Policy Module
The certificate validity period will be shorter than the  Certificate
Template specifies, because the template validity period is longer than the
maximum certificate validity period allowed by the CA. Consider renewing the 
CA certificate, reducing the template validity period, or increasing the 
registry validity period.

O modelo de certificado para o qual estou tentando solicitar um certificado tem validade de 2 anos, e o certificado da CA de emissão ainda é válido por 1,5 anos. Se eu reverter a alteração de sinalizador para SAN com

certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2

posso emitir certificados como antes.

Eu já vi uma possível solução recomendada para aumentar o seguinte:

certutil -setreg ca\ValidatePeriod "Years"
certutil -setreg ca\ValidityPeriodUnits 5

que não funciona (tentei) no meu caso, mas não entendo como isso poderia resolvê-lo de qualquer maneira, já que no final do dia, a data de expiração do certificado da minha CA seria cobrada, se eu entendi corretamente. Não entendo porque estou recebendo este erro apenas com o campo SAN ativado.

Como posso resolver isso? A ativação da SAN implica em mais verificações na CA, algo que eu perdi de alguma forma?

    
por jumpUpToTheCeiling 03.11.2018 / 23:14

1 resposta

1

Parece que a configuração de validade do vertificate no modelo de certificado excede a validade estimada do certificado de CA.

A segunda coisa é que o comando certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 é incorreto e perigoso. O Microsoft ADCS tem a SAN ativada por padrão. Qualquer solicitação válida de certificado com extensão SAN incorporada resultará em certificado com extensão SAN. Esse sinalizador permite passar a extensão da SAN como atributo não autenticado (não incorporado no CSR) e a CA não valida o valor da SAN. Como resultado, qualquer usuário pode obter certificado com extensão SAN arbitrária. E até mesmo representar administradores de domínio. É por isso que EDITF_ATTRIBUTESUBJECTALTNAME2 flag DEVE ESTAR DESATIVADO .

Existem duas opções:

  1. reduza a configuração de validade no modelo de certificado para não exceder a validade estimada do certificado de CA (por exemplo, defina-o para 1 ano).
  2. renova o certificado da CA para torná-lo válido por um período mais longo.

Gostaria de sugerir a opção 2, porque você enfrentará mais problemas nos próximos 6 meses e será forçado a renovar o certificado de CA. Há muitos artigos na Internet que sugerem a renovação do certificado da CA pela reutilização de pares de chaves existentes. Essa solução é menos dolorosa, mas pode aumentar os problemas de validação da cadeia. Toda vez que você renova um certificado de CA, você deve gerar um novo par de chaves.

    
por 04.11.2018 / 08:58