Gültigkeitsdauer und Erneuerung von Zertifikaten in Microsoft CAs

Gültigkeitsdauer von Zertifikaten
Von einer Microsoft CA können keine Zertifikate ausgestellt werden, deren Gültigkeitszeitraum länger ist als die Restgültigkeit des  CA Zertifikats selbst bzw. dessen übergeordneter CA Zertifikate.

Anm.: Dies bedeutet im Gegenzug – wenn das CA Zertifikat ungültig wird, so werden auch alle bereits ausgestellten Zertifikate ungültig – man bezeichnet diesen Vorgang auch als „Time Nesting“.

Im Konfliktfall wird die Gültigkeit eines auszustellenden Zertifikats einfach entsprechend verkürzt.

Bsp.: Ist das Root CA Zertifikat maximal bis Januar 2014 gültig, so kann das untergeordnete CA Zertifikat auch nur bis Januar 2014 gültig sein, auch wenn in der Zertifikatvorlage ein längerer Gültigkeitszeitraum vorkonfiguriert war.

Von der untergeordneten CA ausgestellte Zertifikate orientieren sich wiederum an der Gültigkeit der untergeordneten CA.

Weitere Einschränkungen für die Gültigkeitsdauer eines ausgestellten Zertifikats sind der Registry Key ValidityPeriodUnits der CA, sowie die maximale Gültigkeitsdauer, die in der entsprechenden Zertifikatvorlage konfiguriert wurde.

Ablauf und Erneuerung von Zertifikaten
Wenn ein Zertifikat abgelaufen ist, so kann es im Regelfall von der entsprechenden Anwendung nicht mehr verwendet werden (eine CA stellt bspw. keine Zertifikate mehr aus).

In diesem Fall muss nochmals ein vollständig neuer Zertifikatregistrierungsvorgang mit Identitätsprüfung durchgeführt werden, ein Umstand der zu längeren Unterbrechungen führen kann.   Um dies zu verhindern, kann von der Endentität während der gesamten Zertifikats-Lebensdauer ein Renewal-Request an die CA gestellt werden, um eine Erneuerung des Zertifikats ohne größere Serviceunterbrechung durchzuführen.

Die Erneuerung kann dabei mit einem neuen Schlüsselpaar – mit optional erweiterter Länge – erfolgen, oder das vorhandene wird beibehalten.

  • Bei Verwendung eines neuen Schlüsselpaars  müssen auch die sich im Umlauf befindlichen, zugehörigen öffentlichen Zertifikate neu verteilt werden. Da ansonsten die entsprechenden kryptografischen Signaturen der Certificate Chain im Certificate Chaining Prozess nicht mehr korrekt überprüft werden können
  • Beim Verwenden des alten Schlüsselpaars entfällt dies, die Sicherheit gegenüber Brute Force Angriffen wird aber nicht erneuert.  

CA Zertifikate müssen immer manuell vom CA Administrator erneuert werden. Bei Endentitäten kann der Vorgang auch automatisch erfolgen, falls eine automatische Zertifikatsregistrierung (Autoenrollment) konfiguriert wurde.


Vgl. Microsoft Corporation: „Implementieren und Verwalten der Sicherheit in einem Microsoft Windows 2003 Netzwerk“, S.3-5.

Dieser Beitrag wurde unter PKI: Komponenten und Prozesse veröffentlicht. Setze ein Lesezeichen auf den Permalink.

Eine Antwort auf Gültigkeitsdauer und Erneuerung von Zertifikaten in Microsoft CAs

  1. Adamo Pel sagt:

    Schlau, sehr schlau!
    Besonders gefällt mir der verständliche Schreibstil mit Erklärungen, die auch ein „Normalo“ und nicht unbedingt nur „Nerd´s“ verstehen.
    Auch wenn viel noch im Verborgenen liegt, der jeweilig erklärend kommentierte Text ist mit den wenn – was dann, sehr gut gelungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.