Bir CA ( Certification Authority ) ya da AD CS ( Active Directory Certificate Services ) sertifikasının süresinin uzatılması

  • Article

Bir PKI yapisi olusturuldugunda bu PKI yapisinin her bir Tier ‘inin ( Root CA , Policy CA , Issuing CA ) kendine ait bir Private Key’i bulunmaktadir. Bu private key sertifikasinin diger sertifikalar gibi bir geçerlilik süresi bulunmaktadir.

Bu geçerlilik süresi son bulmadan nasil bir yol izlenerek yeni bir sertifika alinmasi gerektigi konusunda sizinle bazi bilgiler paylasmak istiyorum.

Burada sadece Enterprise bir Root CA oldugunu düsünerek bir senaryo olusturacagim ve sadece bu ROOT CA de bu islemin nasil yapilacagini anlatacagim. Keza eger 2 tier li bir yapiniz var ise ( Root CA , Subordinate CA ) bu durumda önemli olan gene ROOT ‘un expiration süresidir. Eger sadece Sub ‘in sertifikasinda bir sikinti mevcut ise bu durumda ROOT dan yeni bir sertifika almaniz gerekecektir. Böyle bir yapida ROOT CA de expiration sözkonusu ise , bu durumda asagidaki islemler ROOT CA de yapilip SUB CA üzerinde ise yeniden ROOT CA den sertifika istegi yapilmalidir.

Yapilacak adimlar ise söyledir :

1. CA ( Certification Authority ) ya da AD CS ( Active Directory Certificate Services ) ‘in yedeginin alinmasi. Bu adim herhangi bir sorun olustugunda geri dönebilmeniz açisindan oldukça önemlidir. Dolayisiyla bu adimi uygulamadan diger adimlara geçmenizi kesinlikle önermiyorum.

A- Certification Authority konsolunu açiniz.

B- CA ismi üzerinde sag klik yapilarak –> All Tasks –> Back up CA –> Next

C- Asagidaki seçenekleri seçerek devam ediniz

- Private key and CA certificate

- Certificate database and certificate database log

- Browse butonunu tiklayarak bir Backup lokasyonu belirleyiniz. Sistem disk sürücüsü disinda bir sürücü ya da bir network kaynagi seçmenizi öneririm.

D- Private Key için bir password yazin ve Next ‘I seçerek ilerleyin.Dosyalarin belirtilen lokasyonda oldugundan emin olunuz.

E- Sonrasinda kayit defterini Regedit komutu ile açiniz ve HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration lokasyonunun yedegini export seçenegi ile ayni lokasyona aliniz.

2. Notepad uygulamasi açin ve asagidaki içerigi bu dosyaya kopyalayiniz. Bu örnekte ben RenewalValidityPeriod ‘u 10 yil olarak ayarladim. Eger siz 10 yildan daha fazla süre isterseniz RenewalValidityPeriodUnits degerini daha fazla yila denk gelecek sekilde modifiye edebilir ve islemlere o sekilde devam edebilirsiniz. Eger yil degil ay olarak bu islemi yapmak isterseniz bu durumda RenewalValidityPeriod ‘u Months olarak ayarlamaniz gerekmektedir.

[Version]

Signature= "$Windows NT$"

[certsrv_server]

RenewalValidityPeriod=Years

RenewalValidityPeriodUnits=10

3. Dosyayi Winnt ( Windows ) klasörüne capolicy.inf olarak kaydediniz.

4. Bu asamalarla hazirligimizi tamamladik. Artik sertifikanin süresini uzatabiliriz. Bu islem için :

A- Certification Authority konsoluna gidiniz ve CA ismi üzerinde sag klik yapilarak à All Tasks à Renew CA certificate à Next

B- Bu islem sizi servisin durdurulacagi konusunda uyaracaktir. Yes seçenegini seçerek devam ediniz.

C- Yeni bir Public ve Private key olusturulacagina dair bir opsiyon gelecektir.Yes seçenegini seçerek devam ediniz.

D- Simdi Certificate Services restart olacaktir ve CA certificate istenilen yil süresince uzatilacaktir.

E- Simdi bir MMC konsolu açiniz ve Add/Remove Snap-in seçenegi ile birlikte Certificates snap-in ‘ini Computer Account için ekleyiniz. CA server üzerindeki sertifikalari görüyor olmaniz gerekir

F- Personal –> Certificates klasörünü genisletiniz. Sag kisimdaki alanda Local CA için issue edilmis sertifikalari göreceksiniz. Burada expiration süresini kontrol ederek islemin basariya ulasip ulasmadigini kontrol edebilirsiniz.