[SBS 2003]Vervaldatum versie 1 certificaten van CA wijzigen*

Je kan met ADSI editor de tijdsduur aanpassen van de standaard versie 1 templates. Je kan dus de template versie 1 aanpassen zodat deze ook 2 of 5 jaar geldig is. Het is niet makkelijk maar hat kan wel.Ik heb dat zien draaien in productie. Er staat op Technet ergens een uitleg hoe dat moet. Het is iets te lang om dat in een topic op GoT te behandelen.

Je kan SBS wel nieuwe templates aanmaken. Deze zijn alleen te gebruiken is Windows 2003 omgevingen met Windows XP als werkstations als je die Versie 2 voor Auto Enrollment gebruikt. Indien je ze niet voor AutoEnrollment gebruikt kun je ze wel voor meer doeleinden toepassen.

Verdere Info:
Met ADSI editor kun je de templates aanpassen op de volgende manier
Open ADSI editor
ga naar
Configuration container
- CN=Configurations....
- - CN = Services
- - - CN = Public Key Services
- - - - CN = Certificate Templates

Zoek de juiste template
Open deze an pas de volgende string aan
PKIExpirationPeriod
maak deze de volgende string voor 2 jaar
0x00 0x80 0x72 0x0e 0x5d 0xc2 0xfd 0xff

Langere periodes kan ook maar die string weet ik niet meer. Als je meer jaren wilt hebben moet je de andere templates even bekijken wat de exacte string is die je moet intypen.

Dit werkt perfect onder Windows 2000. Daar had je alleen Versie 1 templates.


Kijk wel uit. Dit is een SCHEMA change

Op http://www.microsoft.com/...es/security/ws03crtm.mspx staat veel info. ook de verschillen tussen Versie 1 en versie 2 templates.

[ Voor 72% gewijzigd door bolke op 04-07-2005 21:07 ]

Adsi edit is (oa) een onderdeel van de Windows Server 2003 SP1 Support Tools. Als het goed is staan de support tools ook wel op de originele Windows CD.

[ Voor 16% gewijzigd door Question Mark op 05-07-2005 10:36 ]

Ik ben wel nieuwsgierig of het allemaal gelukt is. Geef even aan of de tip gewerkt heeft.

PS: Ik zag de benodigde DLL in de download staan die hierboven is aangeven. Daar moet het mee gaan werken dus.

Titel ietsje aangepast: [win2k3] Certificate services > [SBS 2003]Vervaldatum versie 1 certificaten van CA wijzigen*

Dennis schreef op dinsdag 05 juli 2005 @ 14:57:
10 jaar .
00 80 3C 48 D1 CB F4 FF

Toen was ik nog positief, maar ondanks dat hij nu op 10 jaar staat in de MMC console (dat is gelukt) maakt hij het certificaat alsnog slechts voor 2 jaar geldig. Dat is al beter dan 1 jaar maar helaas nog steeds niet voldoende . Beetje jammer dus.

Misschien heeft het te maken met de geldigheidduur van de CA zelf. Een certificaat kan nooit langer geldig zijn dan de CA. Indien de CA 2 jaar is kan het certificaat ook maar tww jaar zijn.

je wilt een secure connectie, maar je wilt wel je certificaten 10 jaar geldig laten zijn...

maar leg eens uit wat je ermee wilt bereiken? (client server connecties, vpn, webserver etc).

ok, da's een valide reden. je hebt geen controle over de machines waar die software geinstalled staat (overigens kan je wel simpel van de machine, waar de software geinstalleerd is, het certificaat exporteren).

Sorry to write in English, but i don't speak Dutch - do read a little though (close to my Danish).

I'm in the need of a certificate with a validity period of 25 year.
Do you have an algorithm, or maybe just the string 00 80 xx xx xx xx xx FF ?

I have the figures for 10 year (00 80 3C 48 D1 CB F4 FF), and it works perfect!

This information is to be found no where else - wonder why.

Best regards from Denmark