Issue Edilen Sertifikaların Süresinin uzatılması

  • Article

 

Sertifika yayinlarken en önemli kriterlerden biri bu yayinlanmis sertifikanin süresinin ne kadar süre ile geçerli olacagidir. Bu geçerlilik süresi 3 temel durum gözetilerek ayarlanir.

1- Sertifikanin üretildigi Template'in süresi
2- Issuing CA'in registrysinde yer alan ValidityPeriodUnits ve ValidityPeriod degerleri
3- Issuing CA'in sertifikasinin geçerlilik süresi.

Sertifikanin geçerlilik süresinin ayarlanmasi için en önemli sart Issuing CA'in sertifikasinin geçerlilik süresidir. Eger Issuing CA'in sertifikasinin geçerlilik süresinin bitmesine 3 yil varsa ve siz bir template’i 4 yil sertifika üretmesi konusunda yapilandirirsaniz üretilecek sertifika template 4 senelik olmasina ragmen genede 3 sene olur. Buradaki mantik üretilen sertifikanin süresi Issuing CA'in sertifikasinin geçerlilik süresinden daha uzun olamaz.

Sertifikanin geçerlilik süresinin ayarlanmasi için ikinci önemli sart Issuing CA'in registrysinde yer alan ValidityPeriodUnits ve ValidityPeriod degerleridir. Eger Issuing CA'in sertifikasinin geçerlilik süresinin bitmesine 10 yil varsa ve siz bir template’i 4 yil sertifika üretmesi konusunda yapilandirirsaniz ama ValidityPeriodUnits ve ValidityPeriod degerleri 4 yildan daha az bir süreye ayarlanmis ise bu durumda sertifikanin üretilmesi bu degerler baz alinarak yapilacaktir.

Sertifikanin geçerlilik süresinin ayarlanmasi için en temel ayar ise sertifikanin alinacagi templare üzerinde yapilir. Eger yukardaki ayarlar template üzerinde ayarlanan süre ile bir çakisma yapmiyor ise bu durumda her zaman template süresi etkin olur.

Eger Issuing CA'in sertifikasinin geçerlilik süresinin yukardaki durumlar gözetilerek süresinin uzatilmasi gerekir ise asagidaki blog’umu referans alabilirsiniz.
https://blogs.technet.com/b/orkunun_windows_gnl/archive/2011/08/12/bir-ca-certification-authority-ya-da-ad-cs-active-directory-certificate-services-sertifikas-n-n-s-252-resinin-uzat-lmas.aspx
Bir CA ( Certification Authority ) ya da AD CS ( Active Directory Certificate Services ) sertifikasinin süresinin uzatilmasi

Eger Issuing CA'in registrysinde yer alan ValidityPeriodUnits ve ValidityPeriod degerleri ayarlanmak istenir ise bu durumda asagidaki komutlar administrative komut satirinda uygulanmalidir.

certutil -setreg ca\ValidityPeriodUnits <süre>
certutil -setreg ca\ValidityPeriod <zaman birimi>
net stop certsvc && net start certsvc

Örnegin 10 yillik sertifika üretebilmek için

certutil -setreg ca\ValidityPeriodUnits 10
certutil -setreg ca\ValidityPeriod "Years"
net stop certsvc && net start certsvc

En son olarak template üzerinde asagidaki islemler yapilir
CA console
Certificate Templates klasörü üzeri sag klik manage
Ilgili template ‘in özellikleri açilir
General tabinda Validity Period kisminda gerekli degisiklik yapilir.

image

Burada gözardi etmemeniz gereken en önemli nokta zaten issue edilmis olan sertifikalarin bu degisikliklerden etkilenmeyecegi ancak degisikliklerin yapildigi andan sonraki degisikliklerin bu durumdan etkilenecegidir.