お世話になります。
社内サーバの暗号通信用にADCSのスタンドアロン CAを利用して認証局とサーバ証明書を運用しております。
昨日Chromeのバージョンが58はに上がった事で、サブジェクトの別名が登録されていない証明書が安全ではない証明書となってしまいました。
※警告画面が表示されてしまいます。
この問題を解決するべく、ADCSの設定変更を行い、要求の属性にsanを追加したのですが、
発行された証明書にサブジェクトの別名が作成されず安全ではない証明書のままとなっています。
設定のどの部分がおかしいのか、分かる方が居られましたら回答をお願いいたします。
環境:
OS:Windows Server 2008 R2 Standard Sp1
システム:64bit
設定変更内容:
1.certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
2.サービスの再起動
設定内容の確認:
certutil -getreg policy/EditFlagsを実行
policy/EditFlags REG_MULTI_RZ=
0:EDITF_ATTRIBUTESUBJECTALTNAME2
と表示される。
※これは有効になっているんでしょうか?
regeditでレジストリの値を確認すると
EditFlagsは0x000083ee(33774)
となっております。
証明書発行方法
1.インストール先サーバにて要求を作成
2.ADCSサーバにて要求の取込み(証明書の要求または要求の送信にて1.のファイル内容を貼り付け)
3.追加属性に下記を記述
「san:dns=*.hogehoge.co.jp&dns=hogehoge.co.jp」
4.送信
5.証明機関にて発行
※属性と拡張の表示を見ると3.の追加内容が記載されている
6.発行された証明書のファイル保存(ブラウザにて取得)
7.対象サーバにインストール
※このインストールした証明書に「サブジェクトの別名」がない
インターネット検索等行いましたが、上記を行うだけとの記載が多く原因がつかめておりません。
原因等なにかありますでしょうか?
よろしくお願いいたします。
