[AD CS] Configuration de la durée de vie des certificats

 

Pour modifier la durée de vie des certificats dans une autorité de certification Microsoft, il faut modifier une clé de registre. Avec une autorité de certification d'entreprise intégrée dans un domaine Active Directory, la durée de vie d'un certificat dépend du modèle de certificat sans pouvoir excéder la durée de vie du certificat de l'autorité ni de la durée de la clé de registre suivante.

Dans une autorité autonome, vous n'avez pas de modèle de certificats et vous ne pouvez donc pas définir de durée de certificat depuis un modèle.

La valeur par défaut est de deux ans et dans notre exemple, nous souhaitons générer des certificats pour des autorités secondaires avec une durée de vie plus longue.

 

Ouvrez l'éditeur de registre en tant qu'administrateur. Allez dans la clé de registre suivante ou xxxx est à remplacer avec le nom de l'autorité de certification définit lors de l'installation.

Ordinateur\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\XXXXXXXX

Modifier la valeur « ValidityPeriodUnits » qui représente la durée de vie des certificats que l'autorité autonome va générer. Nous allons mettre « 10 » en hexa ce qui représente « 16 ». L'unité étant définie par la valeur « ValidityPeriod », par défaut « Years ».

Il vous faudra redémarrer les services de certificats, soit depuis la console de l'autorité, clic droit sur le nom de l'autorité.

Il est également possible de modifier la valeur à l'aide des commandes :

Certutil -setreg CA\ValidityPeriodUnits 12

Certutil -setreg CA\ValidityPeriod Years

 

 

Theme: 

Systeme: 

Annee: