Active Directory 証明書サービスで構築した CA サーバーでは、発行する証明書の有効期間を変更できます。
ただし、発行できる証明書の有効期間は自由に変更できるわけではなく、いくつかの制約が存在します。
今回は Active Directory 証明書サービスで発行できる証明書の有効期間の仕組みについて紹介します。
証明機関で発行される証明書の有効期間
Active Directory 証明書サービスで構築した証明機関で、発行する証明書の有効期間は以下の設定で決まります。
そのため、発行する証明書の有効期間を延ばしたい場合、以下の各設定を確認する必要があります。
(a) CA 証明書の有効期間
(b) CA のレジストリ (ValidityPeriod と ValidityPeriodUnits) の上限値
(c) 証明書テンプレートの有効期限 ※エンタープライズ CA のみ
CA サーバーで証明書を発行するとき、上記の 3 つの設定のうち、一番短い時間期間となる設定に丸め込まれます。
エンタープライズ CA では、設定 (a) ~ (c) により発行される証明書の有効期間が決まります。
また、スタンドアロン CA では設定 (a)、(b) により発行される証明書の有効期間が決まります。
(a) CA 証明書の有効期間
証明機関の証明書である CA 証明書の有効期間の長さです。
現在の CA 証明書の有効期限より、有効期限が先の日付をもつ証明書を発行することはできません。
例えば上図の場合、有効期限が 2026 年 1 月 1 日までの CA 証明書の場合、その証明機関から有効期限が 2026 年 7 月 1 日までの証明書を発行することはできません。
有効期限が 2026 年 7 月 1 日までの証明書を発行するためには、CA 証明書の有効期間をそれより先に延ばす作業が必要となります。
Active Directory 証明書サービスでルート証明機関を構築した場合、CA 構成の作業を行った時にルート証明書が作成されます。 既定では5年の有効期間でルート証明書が発行されますが、有効期限が迫ったらルート証明書を更新する必要が[…]
(b) CA のレジストリ (ValidityPeriod と ValidityPeriodUnits) の上限値
Active Directory 証明書サービスでは、証明機関が発行できる証明書の有効期間の上限を設定するためのレジストリがあります。
レジストリの既定値は、エンタープライズ CA の場合は 2 年、スタンドアロン CA の場合は 1 年です。
Active Directory 証明書サービスで構築した証明機関では、レジストリの設定値以上の有効期間をもつ証明書は発行できません。
* 有効期限の単位
キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA の共通名>
値の名前 : ValidityPeriod
値の種類 : REG_SZ
既定値 : Years (※ 他にも Months/Weeks/Days/Minutes/Seconds を指定可能です)
* 有効期限の値
キー : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA の共通名>
値の名前 : ValidityPeriodUnits
値の種類 : REG_DWORD
既定値 : 2 (※ ValidityPeriod が Years であれば、”2 年” となります)
レジストリ設定を変更した場合、設定の変更を反映させるためには Active Directory 証明書サービスの再起動は必須です。
Active Directory 証明書サービスの設定手順は以下の通りです。
1) CA サーバーに管理者権限をもつユーザーでログオンします。
2) 管理者権限でコマンド プロンプトを開きます。
3) 以下のコマンドを実行して、Active Directory 証明書サービスを再起動します。
net stop certsvc && net start certsvc
(c) 証明書テンプレートの有効期限 ※エンタープライズ CA のみ
エンタープライズ CA では、証明書を発行する時、ひな型となる証明書テンプレートを指定します。
証明書テンプレートには発行する証明書の有効期間を設定する項目があり、証明書を発行する際は証明書テンプレートに定義されている有効期間に設定にそって発行されます。
