SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

AD CS で 5 年間有効なサーバー認証用の証明書を作成

leave a comment

ちょっとしたメモですが。

基本的な内容は、以下を参照していただくとよろしいかと。
Windows Server 2003 または Windows 2000 Server 証明機関により発行される証明書の有効期限を変更する方法
Certificate Expiration is set for only 1 year for issued certificates in a Windows 2008 Active Directory environment.
Certutil 

AD CS (Active Directory 証明書サービス : Active Directory Certificate Services) ではインストール時に有効期間を指定することができ、デフォルトでは 5 年間が設定されています。

image

ここで指定した証明書の有効期間がルート証明書の有効期間にもなるかと。
image

証明機関インストール時の証明書の有効期間は今回は 5 年で設定しています。

 

■有効期間を変更したサーバー認証用の証明書の作成と登録


それでは、5 年間有効なサーバー認証用証明書を作成するために証明書テンプレートを作成してみたいと思います。

  1. 「certtmpl.msc」 を起動します。(証明書テンプレートの MMC)
  2. 「Web サーバー」を右クリックして「テンプレートの複製」をクリックします。
    image
  3. 「全般」タブから、「テンプレート表示名」「テンプレート名」に適当な名称を設定し、有効期間を「5 年」に設定します。
    image
  4. 「セキュリティ」タブから「Authenticated Users」を選択して、「登録」を「許可」します。
    これにより認証されているユーザーから、該当のテンプレートを使用した証明書の要求ができるようになります。
    image

証明書の作成が終了したら、証明機関にテンプレートを登録します。

  1. 「certsrv.msc」を起動します。(証明機関の MMC)
  2. 「証明書テンプレート」を右クリックして、「新規作成」→「発行する証明書テンプレート」をクリックします。
    image
  3. 複製した証明書テンプレートを選択して「OK」をクリックします。
    image

以上で証明書の設定は終了です。

■証明書の要求


それでは、作成した証明書を要求してみたいと思います。

  1. サーバー認証用の証明書はコンピューターアカウントに追加する必要がありますので
    「MMC」→「スナップインの追加と削除」→「証明書」から「コンピューター アカウント」の証明書を追加します。
    image
  2. 「個人」→「証明書」を右クリックして、「新しい証明書の要求」をクリックします。
    image
  3. 「Active Directory 登録ポリシー」を選択して、「次へ」をクリックします。
    image
  4. 登録した証明書テンプレートを選択して、「この証明書を登録するには~」のリンクをクリックします。
    image
  5. 「サブジェクト名」に「共通名」を選択して、「値」に共通名を入力して (今回は 「test.local」を指定しています) 「OK」をクリックします。
    image
  6. 「登録」をクリックして証明書を発行します。
    image

以上で証明書が作成されます。
作成された証明書がこちらです。
image

2 年間の証明書になっていますね。

それでは、以下のコマンドを実行して、有効期間の設定状態を確認してみます。

 certutil -getreg CAValidityPeriodUnits certutil -getreg CAValidityPeriod 

インストール直後の状態では 2 年が設定されている (ValidityPeriodUnits = 2 / ValidityPeriod = Years) のが確認できますね。

# エンタープライズ CA では 2 年 / スタンドアロン CA では 1 年になっているかと。

image

この設定が影響して、テンプレートで 5 年と指定しても有効期限が 2 年となった証明書が作成されます。

設定を変更するためには以下のコマンドを実行し、setreg が終了したら AD CS のサービスを再起動します。

これにより「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCertSvcConfiguration<証明機関>」配下の項目が設定変更されます。

# 設定を反映するためには再起動が必須です。

 certutil -setreg CAValidityPeriodUnits 5 net stop CertSvc net start CertSvc 

それでは、もう一度証明書を要求してみたいと思います。

設定変更後に要求した証明書は 5 年で取得されていますね。

image

AD CS のセットアップ時に指定した有効期間を超えることはできないようですが、有効期間内で 2 年を超える証明書を作成したい場合にはこれらの情報を参考にすると対応できるかと。

Written by masayuki.ozawa

1月 13th, 2015 at 12:11 am

Posted in Active Directory

Tagged with

Leave a Reply

*