Active Directory 証明書サービスでルート証明機関を構成するとき、既定で 5 年の有効期間でルート証明書が作成されます。
ルート証明書の有効期間が迫っている場合、ルート証明書の更新を行いますが、更新の際も 5 年の有効期間でルート証明書が更新されます。
今回はルート証明書を更新において、有効期間の長さを変更して更新する手順を紹介します。
有効期間を変更してルート証明書を更新する手順
ルート証明書を有効期間を変更して、ルート証明書を更新する手順です。
ルート証明機関の CA の種類がエンタープライズ CA でもスタンドアロン CA でも手順は同様です。
1) 管理者権限をもつユーザーで CA サーバーにログオンします。
2) エクスプローラーを開きます。
3) エクスプローラーのパスの箇所に %systemroot% と入力して Enter キーをクリックします。
(既定では C:\Windows です。)
4) %systemroot% のフォルダ配下に新規テキスト ドキュメントを作成します。
5) “新しいドキュメント.txt” のファイル名を “CAPolicy.inf” に変更します。
拡張子を変更するため、”拡張子を変更すると、ファイルが使えなくなる可能性があります。変更しますか?” というメッセージが表示されますが、[はい] を選択してファイル名を変更します。
※すでに CAPolicy.inf が存在する場合は、既存のファイルを編集してください。
6) 作成したファイルに以下の文字列を入力して保存します。
——————————————-
[certsrv_server]
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
——————————————-
※ RenewalValidityPeriod が単位、RenewalValidityPeriodUnits の数値で更新期間を指定します。
単位には Months(月)/Weeks(週)/Days(日)/Minutes(分)/Seconds(秒) が指定できます。
7) [Windows 管理ツール] より [証明機関] を開きます。
8) 画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] を右クリックして、[すべてのタスク] – [CA 証明書の書き換え] をクリックします。
9) [CA 証明書のインストール] にて、”Active Directory 証明書サービスを停止しますか?” と表示されたら、[はい] をクリックします。
※ ここで Active Directory 証明書サービスが停止するため、一時的に証明書の新規発行や失効などが行えなくなります。
10) [CA 証明書の書き換え] にて、[いいえ] を選択して [OK] をクリックします。
証明機関のキーペアを書き換えずに、CA 証明書を更新する手順となります。
11) Active Directory 証明書サービスが開始されるのを待機し、起動したら CA 証明書の書き換えは成功しています。
確認方法
新しく発行された CA 証明書を確認します。
1) 管理者権限をもつユーザーで CA サーバーにログオンします。
2) [Windows 管理ツール] より [証明機関] を開きます。
3) 画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] を右クリックして [プロパティ] をクリックします。
4) [全般] タブより、[CA 証明] の欄に “証明書 #<数字>” が追加されていることを確認します。
新しく追加された CA 証明書を選択した状態で、[証明書の表示] をクリックしたら CA 証明書の詳細を確認できるよになります。
(証明書 #<数字> の数字が大きい方が新しい証明書です)
5) 10 年の有効期間をもつ CA 証明書が発行されます。
※ CA 証明書の書き換えの作業を実施した日から 10 年経過した日付が “有効期間の終了日” となります。
