Windows Server 2008 R2 eigene Zertifikatsvorlage – Webregistrierung und Gültigkeit

Da Oracle bei der Java Runtime seit einigen Versionen versucht die Sicherheit massiv zu verbessern werden nun Java Webanwendungen, welche nicht mit einem vertrauten Zertifikat signiert worden sind, nicht mehr ausgeführt. Da im Unternehmen dennoch solche Anwendungen, von vertrauenswürdigen (lokalen) Speicherorten gestartet werden sollen, ermöglichen Java mit dem Deploment Ruleset Regeln zu definieren. Diese XML-Datei muss in ein JAR gepackt werden und anschließend signiert werden.

Dazu haben wir unser CA Zertifikat auf allen Clients in den CA Trust Store der JRE Installation importiert. Somit vertraut Java dem Deploment Ruleset, welches wir mit einem (kostenlosen) Zertifikat unserer internen CA signiert haben.

Da die Vorhanden Zertifikatsvorlage für „Codesigning“ (muss manuell aktiviert werden) nur 1 Jahr Gültigkeit besitzt, wollten wir dies gerne auf 5 Jahre verlängern. Um Einstellungen zu verändern, muss die Vorlage dupliziert werden.

Nachfolgend zwei Probleme auf die ich mit eigenen Zertifikatsvorlagen (certificate templates) gestoßen bin.

Vorlage erscheint nicht in Webregistrierung /cersrv

Nach der Duplizierung der originalen Zertifikatsvorlage auf einem Windows Server 2008 R2 wird die niedrigste unterstützte CA abgefragt (Windows 2003 Enterprise oder Windows 2008 Enterprise). Nur 2003er Vorlagen werden in der Webregistrierung (/cersrv) gelistet. Mit der Auswahl 2008 ist es nur noch möglich ein Zertifikat mit dieser Vorlage über die MMC „Zertifikate“ auszustellen.

Maximale Gültigkeit von mehr als 2 Jahren

EditierenObwohl in der Zertifikatsvorlage für die Gültigkeitsdauer eine beliebige Anzahl an Jahren eingetragen werden kann, sind Zertifikate, die mit dieser Vorlage ausgestellt werden, trotzdem erst mal nur maximal 2 Jahre lang gültig.

Mit dem folgendem Komandozeilen Befehl kann diese Begrenzung glücklicherweise, auf z.B. 5 Jahre, angepasst werden. Zertifikate werden jedoch weiterhin maximal so lange gültig sein wie das CA Zertifikat.

certutil -setreg ca\ValidityPeriodUnits "5"

Quelle für „Vorlage erscheint nicht in Webregistrierung“
Quelle für „Maximale Gültigkeit von mehr als 2 Jahren“