{"id":494,"date":"2013-06-11T21:26:45","date_gmt":"2013-06-11T19:26:45","guid":{"rendered":"http:\/\/lkl-it.de\/blog\/?p=494"},"modified":"2013-06-11T21:35:45","modified_gmt":"2013-06-11T19:35:45","slug":"gultigkeitsdauer-und-erneuerung-von-zertifikaten-in-microsoft-cas","status":"publish","type":"post","link":"http:\/\/lkl-it.de\/blog\/?p=494","title":{"rendered":"G\u00fcltigkeitsdauer und Erneuerung von Zertifikaten in Microsoft CAs"},"content":{"rendered":"

G\u00fcltigkeitsdauer von Zertifikaten<\/span>
\nVon einer Microsoft CA k\u00f6nnen keine Zertifikate ausgestellt werden, deren G\u00fcltigkeitszeitraum l\u00e4nger ist als die Restg\u00fcltigkeit des\u00a0 CA Zertifikats selbst bzw. dessen \u00fcbergeordneter CA Zertifikate.<\/p>\n

Anm.: Dies bedeutet im Gegenzug – wenn das CA Zertifikat ung\u00fcltig wird, so werden auch alle bereits ausgestellten Zertifikate ung\u00fcltig \u2013 man bezeichnet diesen Vorgang auch als \u201eTime Nesting\u201c.<\/em><\/p>\n

Im Konfliktfall wird die G\u00fcltigkeit eines auszustellenden Zertifikats einfach entsprechend verk\u00fcrzt.<\/p>\n

Bsp.: Ist das Root CA Zertifikat maximal bis Januar 2014 g\u00fcltig, so kann das untergeordnete CA Zertifikat auch nur bis Januar 2014 g\u00fcltig sein, auch wenn in der Zertifikatvorlage ein l\u00e4ngerer G\u00fcltigkeitszeitraum vorkonfiguriert war.<\/p>\n

Von der untergeordneten CA ausgestellte Zertifikate orientieren sich wiederum an der G\u00fcltigkeit der untergeordneten CA.<\/span><\/p>\n

Weitere Einschr\u00e4nkungen f\u00fcr die G\u00fcltigkeitsdauer eines ausgestellten Zertifikats sind der Registry Key ValidityPeriodUnits <\/em>der CA, sowie die maximale G\u00fcltigkeitsdauer, die in der entsprechenden Zertifikatvorlage konfiguriert wurde.<\/span><\/p>\n

Ablauf und Erneuerung von Zertifikaten<\/span><\/span>
\nWenn ein Zertifikat abgelaufen ist<\/strong>, so kann es im Regelfall von der entsprechenden Anwendung nicht mehr verwendet werden (eine CA stellt bspw. keine Zertifikate <\/span>mehr aus). <\/span><\/p>\n

In diesem Fall muss nochmals ein vollst\u00e4ndig neuer Zertifikatregistrierungsvorgang mit Identit\u00e4tspr\u00fcfung durchgef\u00fchrt werden, ein Umstand der zu l\u00e4ngeren Unterbrechungen f\u00fchren kann.\u00a0\u00a0 Um dies zu verhindern, kann von der Endentit\u00e4t w\u00e4hrend der gesamten Zertifikats-Lebensdauer ein Renewal-Request<\/strong> an die CA gestellt werden, um eine Erneuerung des Zertifikats ohne gr\u00f6\u00dfere Serviceunterbrechung durchzuf\u00fchren.<\/span><\/p>\n

Die Erneuerung kann dabei mit einem neuen Schl\u00fcsselpaar – mit optional erweiterter L\u00e4nge \u2013 erfolgen, oder das vorhandene wird beibehalten. <\/span><\/p>\n