в ПАК 1.5 этот параметр прописывается один на все выпускаемые сертификаты. Т.Е. если надо выпустить ОДИН такой серт, то надо приостановить выдачу - поменять строку, выдать сертификат, а потом вернуть прежнее значение, чтобы выдавать остальные сертификаты с правильным значением на 1 год.

Это не так. Модуль политики ЦС из состава КриптоПро УЦ 1.5 допускает замену определенного OID из расширения "Улучшенный ключ" запроса на какое-нибудь заданное значение расширения.
Таким образом, для выпуска такого сертификата нужно создать новый шаблон (или если сертификат действительно один - сделать запрос) с нужным EKU.

Срок действия закрытого ключа определяется используемым средством ЭП, информация о котором заносится в дополнение subjectSignTool (1.2.643.100.111). Его тоже можно менять динамически с помощью шаблона?

При настройке выпуска на 2 года, столкнулся с вот какой штукой. На ЦС создал 3 оида ограничивающих срок действия сертификата:
1 год.
1 год и 3 месяца
2 года

Произвел настройку шаблонов на ЦР. Выпустил тестовые сертификаты. Проверил в сертификата "Дествителен с\по" и "Период использования закрытого ключа". Они соответсвуют необходимым срокам. НО! В АРМ ЦР есть еще такое поле как дата окончания действия ключа. И там у меня для всех трех типов сертификата, да и вообще для все сертов моего УЦ прописан 1 год и 3 месяца. Я нашел где задается в настройках ЦР (Свойства: ЦР на "Веб-узел по умолчанию"\политики\дополнительные параметры базы данных) этот параметр - keyValidPeriod. На что влияет этот параметр в работе сертификата?

И на что это влияет?)