AD Certificate Services Validity Period
AD Certificate Services Validity Period, bir sertifika sunucusunun (CA - Certificate Authority) verdiği sertifikaların geçerlilik süresini belirleyen ayardır. Kısaca "Validity Period", bir istemciye veya sunucuya verilen sertifikanın kaç yıl/ay/gün geçerli olacağını belirler.
Bu ayar, root veya subordinate CA kurulumundan sonra yapılır ve regedit ayarlarında HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA_Adı>\ yolunda tutulur. Mevcut ayarları görüntülemek için aşağıdaki powershell komutunu kullanmanız yeterlidir. Aşağıda gördüğünüz gibi sertifika süresi 2 yıl geçerlidir.
certutil -getreg ca\ValidityPeriodUnits 
Sertifika süresini 5 yıl ile değiştirmek için aşağıdaki komutu kullanabilirsiniz.
certutil -setreg ca\ValidityPeriod Years certutil -setreg ca\ValidityPeriodUnits 5 
Yapılan işlemlerin geçerli olması için servisin yeniden başlatmak gerekir. Powershell ile aşağıdaki komutu çalıştırmanız yeterlidir.
net stop certsvc net start certsvc
- Kısa süreli sertifikalar güvenlik açısından daha iyidir (örneğin 1 yıl).
- Uzun süreli sertifikalar bakım kolaylığı sağlar ama daha fazla risk taşır (örneğin unutulan, iptal edilmeyen sertifikalar).
CA'da bu ayarı değiştirmek tek başına yeterli olmaz. İlgili certificate template (şablon) üzerindeki süre daha kısa değilse geçerli olur. Örnek:
- CA validity: 5 yıl
- Template validity: 2 yıl
- ? Sertifika 2 yıl geçerli olur (şablondaki süre kazanır).
Şablonu 5 yıl yapmak için sunucu üzerinden certtmpl.msc yazın. Açılan pencerede varsayılan gelen şablonların ayarlarını değiştirilemez. Bu yüzden değiştirmek istediğiniz şablon üzerinde Dublicate Template seçeneğine tıklayın.
General sekmesinde şablona bir isim verin ve Validity period kısmında 5 Years olarak ayarlarak OK butonuna basınız.
Artık tek yapmamız gereken bu şablonu yayınlamak. Bunun için, CA sunucusunda certsrv.msc yazarak Certification Authority konsolunu açın. Sol menüden Certificate Templates → New → Certificate Template to Issue kısmına tıklayın.
Açılan listeden şablonunu seçin ve OK butonuna basarak işlemi tamamlayın.
Artık istemciler veya sunucular, bu şablonu kullanarak CA’dan 5 yıl geçerli sertifika alabilir.
Sertifikayı uyguladıktan sonra işlemin başarılı olduğunu görebiliriz.
