Cambiar la fecha de expiración de los certificados emitidos por la entidad de certificación

  • Artículo

En este artículo se describe cómo cambiar el período de validez de un certificado emitido por la entidad de certificación (CA).

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 254632

Resumen

De forma predeterminada, la duración de un certificado emitido por una entidad de certificación independiente es de un año. Después de un año, el certificado expira y no es de confianza para su uso. Puede haber situaciones en las que tenga que invalidar la fecha de expiración predeterminada para los certificados emitidos por una entidad de certificación intermedia o emisora.

El período de validez definido en el registro afecta a todos los certificados emitidos por entidades de certificación independientes y empresariales. En el caso de las CA empresariales, la configuración predeterminada del Registro es de dos años. En el caso de las ENTIDADes de certificación independientes, la configuración predeterminada del Registro es de un año. En el caso de los certificados emitidos por entidades de certificación independientes, el período de validez viene determinado por la entrada del Registro que se describe más adelante en este artículo. Este valor se aplica a todos los certificados emitidos por la entidad de certificación.

En el caso de los certificados emitidos por entidades de certificación empresariales, el período de validez se define en la plantilla que se usa para crear el certificado. Windows 2000 y Windows Server 2003 Standard Edition no admiten la modificación de estas plantillas. Windows Server 2003 Enterprise Edition admite plantillas de certificado de la versión 2 que se pueden modificar. El período de validez definido en la plantilla se aplica a todos los certificados emitidos por cualquier entidad de certificación empresarial en el bosque de Active Directory. Un certificado emitido por una entidad de certificación es válido durante el mínimo de los siguientes períodos de tiempo:

  • El período de validez del Registro que se anotó anteriormente en este artículo.

    Esto se aplica a la entidad de certificación independiente y a los certificados de entidad de certificación subordinada emitidos por la ENTIDAD de certificación empresarial.

  • Período de validez de la plantilla.

Esto se aplica a la CA empresarial. Las plantillas admitidas por Windows 2000 y Windows Server 2003 Standard Edition no se pueden modificar. Las plantillas compatibles con Windows Server Enterprise Edition (plantillas de la versión 2) admiten la modificación.

En el caso de una entidad de certificación empresarial, el período de validez de un certificado emitido se establece en el mínimo de lo siguiente:

  • El período de validez del Registro de la ENTIDAD de certificación (por ejemplo: ValidityPeriod == Years, ValidityPeriodUnits == 1)
  • Período de validez de la plantilla
  • El período de validez restante del certificado de firma de la entidad de certificación
  • Si el bit EDITF_ATTRIBUTEENDDATE está habilitado en el valor del Registro EditFlags del módulo de directiva, el período de validez especificado a través de los atributos de solicitud (ExpirationDate:Date o ValidityPeriod:Years\nValidityPeriodUnits:1)

Nota:

  • La sintaxis ExpirationDate:Date no se admitía hasta Windows Server 2008.
  • Para una entidad de certificación independiente, no se procesan plantillas. Por lo tanto, no se aplica el período de validez de la plantilla.

Fecha de expiración del certificado de ca

Una ENTIDAD de certificación no puede emitir un certificado con un período de validez más largo que su propio certificado de CA.

Nota:

El nombre del atributo de solicitud se compone de pares de cadena de valor que acompañan a la solicitud y que especifican el período de validez. De forma predeterminada, esta opción se habilita mediante una configuración del Registro solo en una entidad de certificación independiente.

Cambiar la fecha de expiración de los certificados emitidos por ca

Para cambiar la configuración del período de validez de una entidad de certificación, siga estos pasos.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer una copia de seguridad del Registro y cómo restaurarlo, consulte Cómo realizar una copia de seguridad del Registro y restaurarlo en Windows.

  1. Haga clic en Inicio y luego en Ejecutar.

  2. En el cuadro Abrir , escriba regedit y, a continuación, haga clic en Aceptar.

  3. Busque y, a continuación, haga clic en la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. En el panel derecho, haga doble clic en ValidityPeriod.

  5. En el cuadro Datos de valor , escriba una de las siguientes opciones y, a continuación, haga clic en Aceptar:

    • Días
    • Semanas
    • Meses
    • Años

  6. En el panel derecho, haga doble clic en ValidityPeriodUnits.

  7. En el cuadro Datos de valor , escriba el valor numérico que desee y, a continuación, haga clic en Aceptar. Por ejemplo, escriba 2.

  8. Detenga y reinicie el servicio Servicios de certificados. Para ello:

    1. Haga clic en Inicio y luego en Ejecutar.

    2. En el cuadro Abrir, escriba cmd y, a continuación, haga clic en Aceptar.

    3. En el símbolo del sistema, escriba las líneas siguientes. Presione ENTRAR después de cada línea.

      net stop certsvc
net start certsvc

    4. Escriba exit para salir del símbolo del sistema.