none
AD CS の削除と証明書について RRS feed

  • 質問

  • お世話になっております。

    Windows Server 2012 にエンタープライズCAがインストールされており、ADCS を運用しております。

    この CA は使用目的が不明であることと、CA自体不要であるため、CA を削除し ADCS 自体を廃止したいと考えています。

    ADCS が発行した証明書を確認すると、以下の 5種類の証明書が発行されていました。

    基本 EFS
    CA Exchange
    Windows Server Solutions Computer Certification Template
    ドメインコントローラ
    ユーザー

    CA Exchange 証明書は、過去にExchangeサーバを運用していたため発行されたと考えています。

    (現在 Exchange は運用しておらず、CA Exchange 証明書の期限はすべて切れております。)

    ここで、質問させてください。

    1.CA を削除するにあたって、これらの証明書は"運用の停止" として証明書を取り消せば良いのでしょうか?

    2.基本EFS の証明書が発行されるのは、どのタイミングで発行されるのでしょうか?

      EFS を使用した場合に発行されると理解していましたが、EFS を使用していないユーザーにも発行されています。

      また、GPO の証明書の自動発行設定も「未構成」となっていました。

    ADCS と証明書についてご存知の方がいらっしゃれば、ご教示頂けないでしょうか?

    2018年8月31日 1:18

回答

  • チャブーンです。

    この件ですが、AD CS証明書に関して完全無効化したい場合、厳密には証明書の無効化も含めた対処が必要です。それも含めた網羅的な手順について、したに資料がありますので、確認されることをお奨めします。

    https://support.microsoft.com/en-sg/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r

    EFS証明書についてですが、基本的に「該当ユーザーが初めてファイルの暗号化操作を行った際」に発行され、以後はその証明書がずっと利用されます。EFS証明書はAD CSだけでなく自己署名でも発行されるので、対象証明書のプロパティを確認し、どちらの方法で発行したのか、まずは確認されるといいでしょう。

    EFS証明書はずっと使われるものなので、EFSファイルを全削除|無効化、しても消えることはありません。なので過去に使ったことがあるなら、残っているもの、となるでしょう。またある端末では使ったことがあるが、別の端末では使ったことはない、というシチュエーションの場合も、設定によっては引継がれることもあるので、こちらも確認が必要です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年8月31日 3:35
    モデレータ
  • チャブーンです。

    証明書使用における考え方ですが、まず前提として証明書を使用するのは「アプリケーション」であって、OSが行うわけではないです。OSは「アプリケーションが使いたいと要求」した際に、情報や実体を提供するだけのしくみです。

    証明書を無効化するのは、証明書の要求に対して「今はもう使えませんよ」とアプリケーションに告げるために必要で、アプリケーション自体に証明書の参照をやめさせるなど、「存在しなかったこと」にはできません。

    EFS証明書ですが、Windowsでは基本的に「ローカルコンピューター上のファイル暗号化」のために用意され、ファイルサーバー上のファイル暗号化は、必要に応じて利用可能な「サポートしている」認識です。(実際設定を変えないとできません)。

    共有フォルダー上で暗号化した場合、そのサーバー上にユーザープロファイルが生成され、その中に秘密鍵が生成されます。ローカルコンピューター上で暗号化した場合、そのコンピューター上のユーザープロファイル内に秘密鍵が生成されます。シチュエーション別に生成場所が異なりますので、注意してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年9月4日 4:31
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、AD CS証明書に関して完全無効化したい場合、厳密には証明書の無効化も含めた対処が必要です。それも含めた網羅的な手順について、したに資料がありますので、確認されることをお奨めします。

    https://support.microsoft.com/en-sg/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r

    EFS証明書についてですが、基本的に「該当ユーザーが初めてファイルの暗号化操作を行った際」に発行され、以後はその証明書がずっと利用されます。EFS証明書はAD CSだけでなく自己署名でも発行されるので、対象証明書のプロパティを確認し、どちらの方法で発行したのか、まずは確認されるといいでしょう。

    EFS証明書はずっと使われるものなので、EFSファイルを全削除|無効化、しても消えることはありません。なので過去に使ったことがあるなら、残っているもの、となるでしょう。またある端末では使ったことがあるが、別の端末では使ったことはない、というシチュエーションの場合も、設定によっては引継がれることもあるので、こちらも確認が必要です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年8月31日 3:35
    モデレータ
  • チャブーンさん

    ご回答頂き、ありがとうございます。

    頂いた資料を基に手順を確立します。

    CAサーバを削除する時の考え方ですが、以下の認識で正しいでしょうか?

    ・CAサーバを削除しても発行した証明書は失効されないので、失効処理を行う必要がある。

    ・発行した証明書を失効させ、CAサービスの削除と付随するオブジェクト・証明書を削除すれば、クライアントは CA が発行した証明書を使用しなくなる。

    ・EFS を使用している場合、証明書を失効してもファイルの暗号化はされたままなので、事前に複合処理を行う必要がある。


    私のアカウントに発行された基本 EFS証明書を確認しました。

    発行者は削除対象の CAサーバから発行されていましたが、私自身は EFS で暗号化したことはありません。

    なぜ発行されたかは不明ですが、他にも基本 EFS 証明書が発行されているユーザーがいます。

    管理下のファイルサーバで cipher コマンドで EFS を使用していないことを確認したため、ユーザーのローカル端末で使用している可能性はあるかと思います。

    この問題については、ユーザーに EFS 使用の有無を確認し、最悪に備えてユーザーのEFS証明書とCAのルート証明書をエクスポートして対処できるようにしようと思います。



    • 編集済み とりお 2018年8月31日 9:08
    2018年8月31日 5:14
  • チャブーンです。

    証明書使用における考え方ですが、まず前提として証明書を使用するのは「アプリケーション」であって、OSが行うわけではないです。OSは「アプリケーションが使いたいと要求」した際に、情報や実体を提供するだけのしくみです。

    証明書を無効化するのは、証明書の要求に対して「今はもう使えませんよ」とアプリケーションに告げるために必要で、アプリケーション自体に証明書の参照をやめさせるなど、「存在しなかったこと」にはできません。

    EFS証明書ですが、Windowsでは基本的に「ローカルコンピューター上のファイル暗号化」のために用意され、ファイルサーバー上のファイル暗号化は、必要に応じて利用可能な「サポートしている」認識です。(実際設定を変えないとできません)。

    共有フォルダー上で暗号化した場合、そのサーバー上にユーザープロファイルが生成され、その中に秘密鍵が生成されます。ローカルコンピューター上で暗号化した場合、そのコンピューター上のユーザープロファイル内に秘密鍵が生成されます。シチュエーション別に生成場所が異なりますので、注意してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年9月4日 4:31
    モデレータ
  • フォーラム オペレーターの栗下 望です。
    とりおさん、こんにちは。

    本件その後いかがでしょうか。
    チャブーンさんから寄せられた回答が参考になりましたら [回答としてマーク] の設定と返信をお願い致します。
    ※[回答としてマーク] の設定を行うことで他のユーザーが参考になる回答を見つけやすくなります。

    ご理解、ご協力の程どうぞよろしくお願いいたします。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年9月14日 6:34
    モデレータ