Abgelaufene Zertifizierungsstellen-Zertifikate löschen

Abgelaufene oder  gesperrte Zertifizierungsstellen-Zertifikate entfernen

Die Faustformel für die Gültigkeit einer ausstellenden Zertifizierungsstelle (SubCA) kann wie folgt eingesetzt werden.

(Maximale Laufzeit eines Nutzerzertifikats x 2) + 1 Reservezeit

Beträgt die Laufzeit eines Nutzerzertifikats maximal 2 Jahre, so ist die Zertifizierungsstelle so einzustellen,  das diese inkl. 1 Jahr Reservezeit 5 Jahre gültig ist.

Bei einer Stammzertifizierungsstelle (Root-CA) wäre die Formel wie folgt anzusetzen.

(Laufzeit der der ausstellenden Zertifizierungsstelle x2) + 1 Reservezeit

Somit läuft die Stammzertifizierungsstelle 11 Jahre.

Abgelaufene Zertifizierungsstellen-Zertifikate löschen

Dieses Konzept sorgt dafür, das die Root-CA mehrere Zertifikate für die Sub-CA ausstellt. Die Nummerierung zeigt an, dass das Zertifikat der SubCA bereits einmal erneuert wurde.

Das Ganze sieht dann so aus.

Wenn das neue Zertifikat bereits im Einsatz ist, und das alte Zertifikat zum validieren nicht mehr gebraucht wird, kann es aus dem Zertifikatsspeicher gelöscht werden.

Damit das Zertifikat auch aus der MMC (Eigenschaften der SubCA) verschwindet, muss in der Registry ein Eintrag angepasst werden.

Dazu navigieren wir zum Pfad und ändern den Eintrag CACertHash ab

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Damit man den richtigen Wert entfernt, holt man sich zuvor den Fingerabdruck des zu löschenden Zertifikats. Hinweis: die Hashes stehen in chronologischer Reihenfolge

Der Hash wird nicht einfach gelöscht, er wird durch einen Bindestrich ersetzt, ganz wichtig sonst startet die CA nicht mehr. Die Fehlermeldung würde dann lauten:

Danach startet man die SubCA einmal durch. Egal ob über die GUI oder über die Kommandozeile.

Nach einem Neustart ist das Alte abgelaufene oder gesperrte Zertifikat entfernt.

https://www.der-windows-papst.de/2021/03/13/certificate-auto-enrollment-failed/