none
エンタープライズCAの証明書の有効期限を変更したい RRS feed

  • 質問

  • 皆様

    いつもお世話になっております。

    表題の件でご教授をお願いいたします。

     

    【システム説明】

    Win2003SEでドメインコントローラを構成し、更にエンタープライズCAとしても構成したサーバが2台あります。

    このドメインコントローラは別のLDAPサーバからLDAPSプロトコルで更新情報を受け付ける際に、発行した証明書を利用しています。

     

    【質問】

    Win2003SEで構成したエンタープライズCAで発行する証明書の有効期間を延ばす方法、

    もしくは、証明書の再発行が不要となる運用方法や手段があれば教えて頂けないでしょうか?

     # StandardEditionでは証明書テンプレートの編集が不可能なことなど、難しい状況であることは認識しております。

     

    今回、お客様から証明書の有効期限を10年に延ばすか、もしくはそれと同等の運用方法があれば提示してほしい旨の相談がありましたので調査している次第です。

     

    宜しくお願いいたします。

    2010年10月20日 0:55

回答

  • こんにちは、フォーラムオペレーターの三沢健二です。

    Standard Edition の Windows Server 2003 をご利用であれば、有効期限を変更する事は出来ないかもしれません。

    試験問題作成委員会 さんに案内いただいた KB254632 より抜粋。
    ---
    この有効期間は、エンタープライズ証明機関に適用されます。Windows 2000 と Windows Server 2003 Standard Edition でサポートされるテンプレートは、変更できません。Windows Server Enterprise Edition でサポートされるテンプレート (バージョン 2 のテンプレート) は、変更をサポートしています。
    ---

    再発行(更新)を不要にする方法についても、出来るかどうか微妙なところだと思いますので、CA の再構築などを検討いただいた方が良いかもしれませんね・・・

    もしどうしてもであれば、一度 弊社有償サポート へご相談いただければと思います。
    (方法があるかどうは分かりませんが、、、)

    - 参考情報
    サーバ証明書の有効期限について
    http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=18649&forum=6


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年11月2日 6:06
    2010年10月26日 5:00
    モデレータ

すべての返信

  • http://technet.microsoft.com/ja-jp/library/cc740209(WS.10).aspx

    うえのページにあるよう証明機関を書き換えるようになります。

    ルートCAの最大有効期間は証明書サービスのセットアップ時に指定されます。

     

    http://support.microsoft.com/kb/254632/ja

    Windows Server 2003 または Windows 2000 Server 証明機関 (CA) により発行される証明書の有効期間を変更する方法」であればうえのページにあるようレジストリを操作することになります。発行された証明書はルート CA の有効期間を超えることはできないので証明書の有効期限を10年に延ばすことはできないと思います。


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答の候補に設定 服部清次 2010年11月2日 6:05
    2010年10月20日 18:46
  • こんにちは、フォーラムオペレーターの三沢健二です。

    Standard Edition の Windows Server 2003 をご利用であれば、有効期限を変更する事は出来ないかもしれません。

    試験問題作成委員会 さんに案内いただいた KB254632 より抜粋。
    ---
    この有効期間は、エンタープライズ証明機関に適用されます。Windows 2000 と Windows Server 2003 Standard Edition でサポートされるテンプレートは、変更できません。Windows Server Enterprise Edition でサポートされるテンプレート (バージョン 2 のテンプレート) は、変更をサポートしています。
    ---

    再発行(更新)を不要にする方法についても、出来るかどうか微妙なところだと思いますので、CA の再構築などを検討いただいた方が良いかもしれませんね・・・

    もしどうしてもであれば、一度 弊社有償サポート へご相談いただければと思います。
    (方法があるかどうは分かりませんが、、、)

    - 参考情報
    サーバ証明書の有効期限について
    http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=18649&forum=6


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年11月2日 6:06
    2010年10月26日 5:00
    モデレータ
  • 前畑 さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    前畑 さんがこちらの質問を投稿されてから少し経ちましたが、試験問題作成委員会 さんと弊社の三沢健二の
    回答はご確認いただけましたでしょうか?

    今回、試験問題作成委員会 さんが紹介してくださった KB と弊社の三沢健二の回答が参考になるのでは
    ないかと思いましたので、勝手ながら、ひとまず私の方で [回答としてマーク] させていただきました。

    もし 前畑 さんが詳細をご希望の場合は、弊社の三沢のアドバイスにもありますように、
    弊社の有償サポート窓口へのお問い合わせをご検討いただくのが良いかもしれません。。。

    また何か疑問や質問がありましたら、ぜひ TechNet フォーラムにご投稿ください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2010年11月2日 6:09