Microsoft Standalone CA - Definir data de expiração de uma solicitação individual

1

Eu configurei uma CA autônoma da Microsoft em 2008 R2 como uma autoridade de certificação raiz. Estou tentando configurar uma autoridade de certificação corporativa subordinada. Gerei a solicitação de certificado e a enviei para a CA raiz. Em seguida, executei o seguinte comando para definir a data de vencimento para 20 anos (o ID da solicitação é 5):

certutil -setattributes 5 "ValidityPeriod:Years\nValidityPeriodUnits:20"

Então, eu aprovei o pedido, mas ele falhou. O código de status da solicitação é:

The specified time is invalid. 0x8007076d (WIN32: 1901)

A mensagem de disposição da solicitação é:

Denied by Policy Module  0x8007076d, The requested validity period is invalid.
Confirm that the validity period or expiration data and time specified in the request
does not extend beyond the validity period of the CA certificate, the certificate 
template, and the CA.  The validity period of the CA can be verified by running the 
following commands: certutil -getreg ca\validityPeriod 
                  & certutil -getreg ca\ValidityPeriodUnits

O período de validade do certificado de CA é de 40 anos (expira em 2052). A condição de modelo não se aplica, pois esta é uma autoridade de certificação autônoma. O resultado desses comandos é Years e 1, respectivamente.

Parece que precisarei alterar o validPeriod e o validPeriodUnits da CA. Mas quero manter a expiração padrão de uma solicitação em 1 ano. Existe uma maneira de definir uma expiração máxima e padrão ou terei que alterá-la, emitir o certificado e alterá-lo novamente?

    
por Sean Hall 21.06.2012 / 16:58

1 resposta

1

De acordo com a documentação do Windows 2000 :

All certificates that the stand-alone CA issues have the lifetime specified by the
values of the ValidityPeriod and ValidityPeriodUnits registry entries. Therefore, if
you want to issue certificates with different lifetimes, you must deploy either
enterprise CAs, multiple stand-alone CAs, or third-party CAs.

Isso ainda parece ser válido, de acordo com um post recente em social.technet.microsoft.com .

Acabei alterando o valor do registro, emitindo o certificado e alterando-o novamente.

    
por 25.06.2012 / 15:09