none
同じ用途で2台稼働しているルート証明機関の廃止について RRS feed

  • 質問

  • いつもお世話になっております。

    現在社内ネットワーク上にルート証明機関が2台動いており、内1台のOSがWindows Server2012R2のため来年中までには廃止したいと考えています。
    2台ある運用上の理由や使い分けは特になく、当時何も考えず設定のテスト目的で立ててしまい片方消して問題無いか分からなくなったので後回しにしてしまっている状態です。

    証明書の発行先・用途は全てLAN内で利用している社内ユーザー、コンピュータ・システム用です。
    現在、廃止証明機関で定義されているテンプレートは全て残すもう一台の証明機関で定義されており、証明書は自動発行なので稼働中の2台のいずれかにランダムで発行されてしまっている状態です。

    廃止証明機関のルート証明機関としての証明書の有効期限は2025年まで有効です。
    各ユーザー・コンピュータ宛てに発行されている証明書の最終有効期限は2023年10月までです。


    この運用状態の場合、廃止予定の証明機関の役割を直ちに削除してしまって問題無いでしょうか。

    証明機関の役割サービスを削除したとしてもADからサーバー情報を削除しなければ発行済みの証明書は有効で、
    期限が切れたら残った1台の証明機関から再発行されるという認識なのですが。

    よろしくお願い致します。
    2022年10月17日 9:15

すべての返信

  • チャブーンです。

    この件ですが、最初にコメントしないといけないのは、一般論として2台の証明機関に「連続性・連携性」はありません。
    したがって、

    証明機関の役割サービスを削除したとしてもADからサーバー情報を削除しなければ発行済みの証明書は有効で、
    期限が切れたら残った1台の証明機関から再発行されるという認識なのですが。

    は、確約できません。ベストなのは「テスト側の証明機関」をActive Directory側含め完全に削除し、同時に「本番側の証明機関」で、証明書を発行しなおすことです。いきなりそうするのではなく、その前段階として、テスト側の証明書テンプレートの[セキュリティ]タブの[自動登録]および[登録]をOFFにし、テスト側からの自動発行を止めたうえ、証明書スナップインコンソールで手動発行するか、gpupdate /forceコマンドでの自動発行など対応するとよい、と思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2022年10月18日 3:00
  • チャブーン 様

    回答ありがとうございます。また、お礼の返信が遅くなって申し訳ありません。

    登録OFFを実施してから返信しようと思ったのですが今週作業時間とるのが難しい状況でしたので設定してみて改めてどうなったか報告いたします。

    2022年10月27日 23:28