none
ドメイン コントローラ(DomainController)証明書について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    AD CSの役割を追加して認証局を構築しております。

    今回ドメインコントローラを新規に追加し、認証局をそのドメインコントローラに移行したいのですが、

    認証局を移行する際に注意する点はありますでしょうか。

    Exchange用とWebサーバ用のサーバ証明書を発行していますが、その他は明示的に発行していません。

    管理画面を確認すると下記の証明書が発行されていました。

    CA Exchange (CAExchange)
    ドメイン コントローラー(DomainController)
    基本 EFS (EFS)
    Web サーバー(WebServer) 

    今回、認証局については、既存の認証局をアンインストールし、

    新規に構築することを想定していましたが、移行する必要がありますでしょうか。

    よろしくお願いいたします。

    2019年1月24日 10:54
    |

回答

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、AD CS(Active Directory証明書サービス)を移行したい場合、以前のCA情報・CAルート証明書(秘密鍵つき)をそのまま移行することが多いと思います。既存環境のActive DirectoryにCA情報が書き込まれているため、これをそのまま引き継いだ方が都合がよいことが多いからです(とくに他のメンバーサーバーやクライアントにも証明書を発行している場合)。

    そちらについては、過去にお答えしたことがあるので、以下の過去ログを参照ください。

    https://social.technet.microsoft.com/Forums/ja-JP/76d6a848-5dc0-490c-865e-5f0972a0c980/activedirectory?forum=windowsserver2008ja

    うえとは対照的に、以前の証明書や証明機関について「一切しがらみがない」ということでしたら、新規に証明機関を構成できます。ただし既存で利用していたCA名は使えませんので、別のCA名を指定する必要があります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年1月25日 1:37
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様。

    ご回答ありがとうございます。

    ご存知でしたらご教授ください。

    懸念しているものとしては失効リストを引き継ぐべきか否かです。

    サーバ証明書の払い出しは運用でやっており、その他の証明書は発行していないのですが、

    ・ドメイン コントローラー(DomainController)
    ・基本 EFS (EFS)

    という証明書が勝手に作成されている状態でした。

    既存のCAを削除した場合、失効リストも参照できなくなるため、更新期間を過ぎたタイミングで

    払い出し済みの証明書が、有効期間が残っていても利用できなくなるのではと理解しており、

    移行するしかないのかなと思っています。

    なお、移行元はWindows Server 2012で、移行先はWindows Server 2016ですが、

    ご紹介いただいた過去ログではWindows Server 2012までの対応のようでした。

    よろしくお願いします。

    2019年1月25日 8:45
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    サーバ証明書の払い出しは運用でやっており、その他の証明書は発行していないのですが、

    この「運用」というのがAD CS Web登録サービスからの手動払い出しを意味しているなら、ふつうは移行するしかないと思います。CA 移行時に既存払い出し済みの証明書も、全部新CAで再発行する、なら移行は不要ですが。

    移行に関しては、前回の回答を参考にしてください。Windows Server 2016への移行も紹介した情報を使って、そのまま対応できます。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年1月28日 2:27
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様。

    度々のご回答ありがとうございます。

    再発行は難しいため、移行を検討します。

    ありがとうございました。

    2019年1月28日 11:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    y-shibataさん、こんにちは。
    フォーラム オペレーターのHarukaです。

    フォーラムに投稿くださいましてありがとうございます。
    本件、チャブーン さんより参考になる投稿が寄せられたようでなによりです。

    [回答としてマーク]機能は設定された投稿が後から参照しやすくなりますので、
    同じ問題でお困りの方のためにも参考になった投稿に設定いただけますと幸いです。

    今回は私にて チャブーンさんの投稿に設定させていただきました。

    ご理解の程、どうぞよろしくお願いいたします。

    MSDN/ TechNet Community Support Haruka

    ~参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、
    ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。~

    2019年3月26日 7:59
    |
    モデレータ