Como alterar a data de validade de certificados são emitidos por um Windows Server 2003 ou uma autoridade de certificação Windows 2000 Server

Este artigo descreve como alterar o período de validade de um certificado é emitido por um Windows Server 2003 ou um Windows 2000 Server (autoridade de certificação).

Por padrão, o tempo de vida de um certificado é emitido por uma autoridade de certificação autônoma CA é um ano. Após um ano, o certificado expira e não é confiável para uso. Pode haver situações quando você tem que substituir a data de expiração padrão de certificados são emitidos por um intermediário ou uma CA de emissão.

O período de validade é definido no registro afeta todos os certificados são emitidos por autônomo e CAs corporativas. Para CAs corporativas, a configuração de registro padrão é dois anos. Para autoridades de certificação autônoma, a configuração de registro padrão é um ano. Para certificados que são emitidos por autoridades de certificação autônoma, o período de validade é determinado pela entrada do Registro descrita posteriormente neste artigo. Esse valor se aplica ao todos os certificados são emitidos pela CA.

Para certificados que são emitidos por CAs corporativas, o período de validade é definido no modelo que é usado para criar o certificado. Windows 2000 e Windows Server 2003 Standard Edition não oferecem suporte a modificação desses modelos. Windows Server 2003 Enterprise Edition oferece suporte a versão 2 modelos de certificado que podem ser modificados. O período de validade definido no modelo se aplica a todos os certificados emitidos por qualquer CA corporativa na floresta do Active Directory. Um certificado é emitido por uma autoridade de certificação é válido para o mínimo dos seguintes períodos de tempo:

• O período de validade do registro que anotou neste artigo.
  
  Isso se aplica a autoridade de certificação autônoma e certificados de autoridade de certificação subordinada emitidos pela CA corporativa.
• O período de validade do modelo.

Isso se aplica a autoridade de certificação na empresa. modelos suportados pelo Windows 2000 e Windows Server 2003 Standard Edition não pode ser modificado. Modelos suportados pelo Windows Server Enterprise Edition (versão 2 modelos) têm suporte para modificação.

Para uma CA corporativa, o período de validade de um certificado emitido é definido como o mínimo de todos os itens a seguir:

• O período de validade do registro da autoridade de certificação (exemplo: ValidityPeriod ? Years, ? == ValidityPeriodUnits == 1)
• O período de validade do modelo
• O período de validade restante do certificado de assinatura da autoridade de certificação
• Se o bit EDITF_ATTRIBUTEENDDATE estiver habilitado no valor de registro EditFlags ?s o módulo de diretiva, o período de validade especificado por meio de solicitação de atributos (? ExpirationDate:Date ? ou ? ValidityPeriod:Years\nValidityPeriodUnits:1 ?)

anotações

• Não havia suporte para a sintaxe ExpirationDate:Date até que o Windows Server 2008.
• Para uma autoridade de certificação autônoma, não há modelos são processados. Portanto, o período de validade do modelo não se aplica.

A data de validade do certificado da CA

Uma autoridade de certificação não pode emitir um certificado com um período de validade mais que seu próprio certificado da CA. Para obter mais informações sobre modelos de certificado, consulte o informe oficial "Implementing and Administering Certificate Templates in Windows Server 2003". Para fazer isso, visite o seguinte site: Observação O nome de atributo de solicitação é composto de pares de seqüência de caracteres do valor que acompanham a solicitação e que especifique o período de validade. Por padrão, isso é ativado por uma configuração de registro em apenas uma CA autônoma.

Para alterar a data de validade de certificados que são emitidos por uma autoridade de certificação Windows 2000 Server ou um Windows Server 2003

Para alterar as configurações de período de validade de uma autoridade de certificação, siga estas etapas.

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

1. Clique em Iniciar e, em seguida, clique em Executar .
2. Na caixa Abrir , digite regedit e, em seguida, clique em OK .
3. Localize e clique na seguinte chave do Registro:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>
4. No painel direito, clique duas vezes em ValidityPeriod .
5. Na caixa dados do valor , digite o seguinte e, em seguida, clique em OK :
   • dias
   • semanas
   • meses
   • anos
   .
6. No painel direito, clique duas vezes em ValidityPeriodUnits .
7. Na caixa dados do valor , digite o valor numérico que você deseja e, em seguida, clique em OK . Por exemplo, digite 2 .
8. Pare e reinicie os serviços de certificados. Para fazer isso:
   1. Clique em Iniciar e, em seguida, clique em Executar .
   2. Na caixa Abrir , digite cmd e, em seguida, clique em OK .
   3. No prompt de comando, digite as seguintes linhas. Pressione ENTER após cada linha.
      net stop certsvc
      net start certsvc
   4. Digite exit para sair.

Para obter mais informações sobre serviços de certificados no Windows Server 2003, consulte o tópico Public Key Infrastructure na seção "Segurança" da documentação do produto Windows Server 2003. Para consultar a documentação de produto do Windows Server 2003, visite o seguinte site: