none
エンタープライズCAを複数立てた場合のサーバー証明書の更新タイミングについて RRS feed

  • 質問

  • エンタープライズCA(Windowsサーバー)を複数立てた場合、

    「コンピューター」→「個人ストア」の中に入ってくるサーバー証明書の更新タイミングについて

    公式の記述が知りたいのですが、見つけることができていません、ご存知のかた教えていただけないでしょうか?


    旧CAの稼働中にドメイン参加したPCですと、旧CAが発行元のフルPC名の証明書が 「コンピューター」→「個人ストア」に存在している状態になっています。

    その状態で新CAを立てたところ、信頼されたルート証明書には自動で配布されたのですが、「コンピューター」→「個人ストア」には配布されません

    手動で証明書を要求した所、新旧2つの証明書が存在する状態になりました。


    旧CA発行のサーバー証明書のみが存在するPCだと、新CA発行のサーバー証明書は自動更新で配布されるのか?

    (デフォルトだと有効期限の6週間前に更新が走るのは知っているのですが、
    これが新CAの証明書まで取りに行ってくれるのかがわからず
    テスト環境で試すほど、検証時間がのされてなかったため質問させていただきました)


    以上です。

    よろしくお願いします。


    • 編集済み hideri 2016年5月30日 7:56
    2016年5月30日 7:50

すべての返信

  • チャブーンです。

    グループポリシーによる証明書配布(証明書の自動発行)には、以下の条件が必要です。

    • グループポリシーの証明書配布(証明書サービスクライアント)を正しく設定する
    • 配布対象の証明書テンプレートのアクセス許可(とくに自動登録について)を正しく設定する

    上記の構成は証明機関の個数とは原則無関係です。証明書テンプレートのアクセス許可は新しいCAに対しても、個別に設定する必要があります。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2016年5月31日 1:56
    モデレータ
  • 現在のテスト環境とは全く別の環境で ADを立ててその後AD証明書機関を立てた時は、特に設定せずも

    ドメイン参加しているクライアントPCの「ローカルコンピューター」→「個人ストア」の中に

    フルコンピューター名で発行された証明書ができていたのですが、それは1つ目だからとかでしょうか?

    CAはエンタープライズルートCAで作成しています。

    2016年5月31日 3:17