Kezdő CA-üzemeltetőként belefutottam egy problémába:

Szerettem volna egy tanúsítványt 5 évre kiadni. Megnéztem a template-ek között, átállítottam a Validity Periodot, Apply, OK

A tanúsítványt kiállítottam, jött a meglepetés: az érvényességi ideje bizony csak 2 év lett, nem 5.

A megoldás persze triviális volt: mivel ez a CA nem egy CAPolicy.inf file segítségével lett telepítve, alapból 2 év az érvényessége a kiadott certeknek.

Ezt módosítani így lehet:

A CA-n át kell írni a lenti registry kulcsot:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

ValidityPeriod értéke legyen Years

ValidityPeriodUnits értéke pedig a kívánt érték, pl 5

Kell még egy:        net stop certsvc
net start certsvc

Eután ha kiadjuk a tansúítványt, immár 5 évre fog szólni az érvényessége.

Nem egy nagy dolog, de bosszantó tud lenni 🙂

A feladat adott volt: Bitlocker titkosítás a smart cardon elhelyezett tanúsítvány segítségével.

Első lépésben a Bitlocker Recovery Agentet definiáltam volna, ezen cikk alapján:

http://blogs.technet.com/b/askcore/archive/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives.aspx

A problémába ott ütköztem, hogy sehol nem találtam a kiemelt Extended Key Usage értékeket a CA szerveren, miközben a certificate template-et szerkesztettem:

A megoldás, hogy miként csalogassuk elő a hiányzó EKU-kat…a CA szerverre (illetve arra gépre, ahonnan a certificate template-eket szerkesztjük) telepíteni kell a Windows Feature-ök közül a Bitlocker Drive Encryption modult.

Parancssoros adminoknak:

ServerManagerCmd -install BitLocker -restart

A reboot után a kívánt EKU-k elérhetőek lesznek a certificate templateben.