【AD CS】ルート証明書を更新する手順

Active Directory 証明書サービスでルート証明機関を構築した場合、CA 構成の作業を行った時にルート証明書が作成されます。

既定では5年の有効期間でルート証明書が発行されますが、有効期限が迫ったらルート証明書を更新する必要があります。

今回は Active Directory 証明書サービスで構築したルート証明機関でルート証明書を更新する方法を紹介します。

 

ルート証明書の更新手順

ルート証明書を更新して有効期間を延長する手順です。
ルート証明機関の CA の種類がエンタープライズ CA でもスタンドアロン CA でも手順は同じです。

1) 管理者権限をもつユーザーで CA サーバーにログオンします。

2) [Windows 管理ツール] より [証明機関] を開きます。

3) 画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] を右クリックして [すべてのタスク] – [CA 証明書の書き換え] をクリックします。

 

4) [CA 証明書のインストール] にて、”Active Directory 証明書サービスを停止しますか?” と表示されたら、[はい] をクリックします。
     ※ ここで Active Directory 証明書サービスが停止するため、一時的に証明書の新規発行や失効などが行えなくなります。

 

5) [CA 証明書の書き換え] にて、[いいえ] を選択して [OK] をクリックします。
     証明機関のキーペアを書き換えずに、CA 証明書を更新する手順となります。

 

6) Active Directory 証明書サービスが開始されるのを待機し、起動したら CA 証明書の書き換えは成功しています。

 

確認方法

新しく発行された CA 証明書を確認します。

1) 管理者権限をもつユーザーで CA サーバーにログオンします。

2) [Windows 管理ツール] より [証明機関] を開きます。

3) 画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] を右クリックして [プロパティ] をクリックします。

 

4) [全般] タブより、[CA 証明] の欄に “証明書 #<数字>” が追加されていることを確認します。
     新しく追加された CA 証明書を選択した状態で、[証明書の表示] をクリックしたら CA 証明書の詳細が確認できるようになります。
 (証明書 #<数字> の数字が大きい方が新しい証明書です)

 

5) 5 年の有効期間をもつ CA 証明書が発行されます。
 ※ CA 証明書の書き換えの作業を実施した日から 5 年経過した日付が “有効期間の終了日” となります。

 

更新後の CA 証明書の有効期間

CA 証明書の書き換えを実施した後に、更新された CA 証明書の有効期間の終了日は作業した日から5年後(既定)に延長されて発行されます。

有効期間の5年後というのは、1 つ前の CA 証明書の有効期間の長さとなります。
CA 構成時のウィザードにおける既定の CA 証明書の有効期間が5年であるため、既定で5年後と紹介しております。
もしご利用の環境において、CA 構成時に CA 証明書の有効期間を10年で構成していれば、次回の書き換え後の CA 証明書の有効期間の終了日は “作業した日から10年後” です。
CA 証明書の有効期間を変更することも可能です。

関連記事

Active Directory 証明書サービスでルート証明機関を構成するとき、既定で 5 年の有効期間でルート証明書が作成されます。 ルート証明書の有効期間が迫っている場合、ルート証明書の更新を行いますが、更新の際も 5 年の有効期間で[…]

また、CA 証明書の有効期間の開始日は “キーペア” を作成した日となります。

最初にキーペアを作成するのは、新規に CA を構成したタイミングとなります。
そのため、最初の CA 証明書の有効期間の開始日は CA を構築した日で設定されています。

その後に CA 証明書を更新しても、そのタイミングでキーペアの書き換えを行われない場合は、更新後の CA 証明書の有効期間の開始日は変更されません。

例えば、CA 構成の作業を 2017 年 7 月 1 日に実施を行い、CA 証明書の有効期間を5年としたとします。
その状態で 4 年経過した 2021 年 7 月 1 に CA 証明書をキーペアを書き換えずに更新したとすると、更新後の CA 証明書は、有効期間の開始日は 2017 年 7月 1 日、有効期間の終了日は 2026 年 7 月 1 日となります。

一見、有効期間は 8 年間のように見えますが、実質的には 5 年の延長となりますので注意してください。

 

CA 証明書のキーペアの書き換え

certsrv の管理コンソールから [CA 証明書の書き換え] をクリックすると、Active Directory 証明書サービスが停止した後に、以下のメッセージが表示されます。

[CA 証明書の書き換え] 証明機関 (CA) の新しい証明書を取得することに加え、新しく署名するキーを生成するオプションがあります。

次のとき CA のための新しい証明書が必要です:
      現在発行している証明書の有効期間が短くなったとき。

次のとき新しく署名するキーが必要です。
   署名するキーが危害を受けたとき。
   新しい CA 証明書に使うための新しく署名するキーを必要とするプログラムがあるとき。
   現在の証明書失効リスト(CRL) が大きすぎて、一部の情報を新しい CRL に移動するとき。

新しい公開キーと秘密キーの組を作成しますか? 暗号化サービス プロバイダーとハッシュ アルゴリズムの設定は保存されます。既存のキーの長さが 1024 ビット未満の場合は増やすことができます。

 

このメッセージは説明にある通り、証明機関のキーペアを書き換えるかどうかを選択するための画面です。

キーペアとは公開鍵暗号方式の公開鍵と秘密鍵のことです。
公開鍵は CA 証明書に付与されており、秘密鍵は CA で発行する証明書や CRL の署名に利用されます。

詳細な仕組みは以下の記事でも紹介しております。

関連記事

前回の講座 [sitecard subtitle=PKI講座第3回 url=https://pkiwithadcs.com/shared_key_cryptosystem/ target=]   ここまでに、データの暗号化の技術の概要[…]

関連記事

前回の講座 [sitecard subtitle=PKI講座第6回 url=https://pkiwithadcs.com/digital_signing/ target=]   前回は、公開鍵暗号化方式とハッシュアルゴリズ[…]

 

キーペアの書き換えを行うと、CA 証明書の更新後に発行される証明書の信頼チェーンが変更されてしまいます。
対象の CA で発行された証明書を利用している端末に全てに対し、信頼された CA 証明書を配布しなおす等の作業が必要となってきます。
そのため、CA 証明書の有効期間を延長する目的においては、一般的にはキーペアの書き換えは行いません。
CA 証明書の書き換えの作業においては、特に意図がなければ [いいえ] を選択してキーペアを書き換えずに更新することをお勧めします。

CA のキーペアを書き換えるシナリオとしては、一般的には以下のようなものがあります。

① 秘密鍵が漏洩した
証明機関の秘密鍵は、証明書の署名に使用されるものとなります。
もし秘密鍵が漏洩して悪意のある第三者の手に入ると、不正な証明書を発行して悪用することも可能となってしまいます。
そのため、万一、秘密鍵が漏洩してしまったら、キーペアを変更して CA 証明書を更新する必要があります。

② セキュリティ強化のためにキーを変更したい
セキュリティ強化を目的として、公開鍵暗号化方式を変更したり、鍵長を変更する場合は鍵を新しくしなくてはいけないため、キーペアを変更します。

③ CRL がファイルサイズが大きい
CA を構築してから長期間運用していれば、失効させた証明書の数も多くなることがあります。
その場合、失効させた証明書のリストを記載している CRL のファイル サイズも大きくなってしまいます。
証明書の失効確認を行う際の処理のパフォーマンスに影響を与える可能性もあります。

キーペアを書き換えることで、CRL を分割させることができます。