Abgelaufene Zertifizierungsstellen Zertifikate loeschen

Abgelaufene Zertifizierungsstellen-Zertifikate löschen

Abgelaufene oder  gesperrte Zertifizierungsstellen-Zertifikate entfernen

Die Faustformel für die Gültigkeit einer ausstellenden Zertifizierungsstelle (SubCA) kann wie folgt eingesetzt werden.

(Maximale Laufzeit eines Nutzerzertifikats x 2) + 1 Reservezeit

Beträgt die Laufzeit eines Nutzerzertifikats maximal 2 Jahre, so ist die Zertifizierungsstelle so einzustellen,  das diese inkl. 1 Jahr Reservezeit 5 Jahre gültig ist.

Bei einer Stammzertifizierungsstelle (Root-CA) wäre die Formel wie folgt anzusetzen.

(Laufzeit der der ausstellenden Zertifizierungsstelle x2) + 1 Reservezeit

Somit läuft die Stammzertifizierungsstelle 11 Jahre.

Alte SubCA Zertifikate entfernen

Dieses Konzept sorgt dafür, das die Root-CA mehrere Zertifikate für die Sub-CA ausstellt. Die Nummerierung zeigt an, dass das Zertifikat der SubCA bereits einmal erneuert wurde.

Das Ganze sieht dann so aus.

Zertifikat Nr. 0 gesperrt

Wenn das neue Zertifikat bereits im Einsatz ist, und das alte Zertifikat zum validieren nicht mehr gebraucht wird, kann es aus dem Zertifikatsspeicher gelöscht werden.

Damit das Zertifikat auch aus der MMC (Eigenschaften der SubCA) verschwindet, muss in der Registry ein Eintrag angepasst werden.

Dazu navigieren wir zum Pfad und ändern den Eintrag CACertHash ab

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Zertifikat Nr. 0 gesperrt

Damit man den richtigen Wert entfernt, holt man sich zuvor den Fingerabdruck des zu löschenden Zertifikats. Hinweis: die Hashes stehen in chronologischer Reihenfolge

CACertHash

Der Hash wird nicht einfach gelöscht, er wird durch einen Bindestrich ersetzt, ganz wichtig sonst startet die CA nicht mehr. Die Fehlermeldung würde dann lauten:

Error Messages

WIN32 13 ERROR_INVALID_DATA

Die Daten sind unzulässig. 0xd (WIN32: 13 ERROR_INVALID_DATA)
The data is invalid. 0x8007000d (WIN32: 13 ERROR_INVALID_DATA)

Delete CACertHash

Danach startet man die SubCA einmal durch. Egal ob über die GUI oder über die Kommandozeile.

Delete SubCa Certificate

Nach einem Neustart ist das Alte abgelaufene oder gesperrte Zertifikat entfernt.

Remove expired CA Certificate

Certificate Auto Enrollment failed