Die Laufzeit der zweistufigen PKI war zu kurz gewählt.

Die Datei %windir%\capolicy.inf auf dem Offline-CA Server anlegen. Inhalt:

[Version]
 Signature="$Windows NT$"
 [PolicyStatementExtension]
 Policies=AllIssuancePolicy
 Critical=FALSE
 [AllIssuancePolicy]
 OID=2.5.29.32.0
 [Certsrv_Server]
 RenewalKeyLength=2048
 RenewalValidityPeriod=Years
 RenewalValidityPeriodUnits=23

Mit dem Befehl auf der Offline-CA

certutil -setreg CA\ValidityPeriodUnits 23

die Laufzeit auf 23 Jahre ändern (doppelte Laufzeit der Sub-CA + 1 Jahr). Anschließend von der Offline-CA das Zertifikat erneuern.

Die Datei %windir%\capolicy.inf auf der Sub-CA anlegen. Inhalt:

[Version]
 Signature="$Windows NT$"
 [PolicyStatementExtension]
 Policies=AllIssuancePolicy
 Critical=FALSE
 [AllIssuancePolicy]
 OID=2.5.29.32.0
 [Certsrv_Server]
 RenewalKeyLength=2048
 RenewalValidityPeriod=Years
 RenewalValidityPeriodUnits=11

Danach die Laufzeit der Zertifikate, die von der Sub-CA ausgestellt werden können, mit dem Befehl

certutil -setreg CA\ValidityPeriodUnits 11

verlängern (doppelte Laufzeit der Zertifikate + 1 Jahr).

Das Zertifikat der Sub-CA erneuern. Befehl:

certutil -renewcert

Die resultierende Datei auf den Offline-CA Server kopieren und mit dem Befehl:

certreq -submit <Pfad zur kopierten Datei von vorher>.req

Auf der Offline-CA den CA Manager starten und in „Ausstehende Anforderungen“ die Anforderung auswählen und per Rechtsklick „Ausstellen“ auswählen (hier die ID merken). Anschließend den Befehl

certreq -retrieve <ID> <Pfad zum ausgestellten Zertifikat>.crt

Den Zertifizierungsdienst stoppen

net stop certsvc

Diese Datei dann auf die Sub-CA kopieren und den Befehl

certutil -installcert <Pfad zum ausgestellten Zertifikat>.crt

ausführen. Das dauert einen Moment. Anschließend den Zertifizierungsdienst wieder starten:

net start certsvc