none
クライアント証明書の自動更新について RRS feed

  • 質問

  • Windows 2008 R2で

    AD CS証明書サービスで作成される証明書テンプレートの
    「更新期間」は

    グループ ポリシー管理コンソール (GPMC) で、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定] の順に移動し、[公開キーのポリシー]
    [有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する]

    にチェックを入れたグループポリシーが反映されているドメインコンピュータで参照されるのでしょうか。

    以上です、よろしくお願いします。

    2016年8月10日 9:10

回答

  • チャブーンです。

    この件ですが、以下のスレッドの続編と理解しています。

    https://social.technet.microsoft.com/Forums/ja-JP/ce8468d7-a857-4188-bc6a-1da760b35b37?forum=activedirectoryja

    これですが、証明書の「更新期間」は証明書テンプレートの「更新期間」のみで設定され、それ以外の設定は残念ながらないように思います。簡単に以下のように検証した結果から

    • 5時間の有効期間/2時間の更新期間では、3時間後に更新
    • 5時間の有効期間/0時間の更新期間では、4時間後に更新

    最少の更新期間は1時間である(1時間以下の更新期間は反映できない)こと、(少なくても短い期間では)有効期限の80%が下限であること、などがわかると思います。これは先のスレッドにも「仕様」として書かれていることです。

    少なくとも、[有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する]ポリシー内に、「更新期間」を指定する情報はありません。従ってこのポリシーの内容から「更新期間」をたどろうとしても、徒労に終わってしまうと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年8月16日 2:44
    • 回答としてマーク しとろん樹 2016年8月25日 1:20
    2016年8月15日 3:52
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、以下のスレッドの続編と理解しています。

    https://social.technet.microsoft.com/Forums/ja-JP/ce8468d7-a857-4188-bc6a-1da760b35b37?forum=activedirectoryja

    これですが、証明書の「更新期間」は証明書テンプレートの「更新期間」のみで設定され、それ以外の設定は残念ながらないように思います。簡単に以下のように検証した結果から

    • 5時間の有効期間/2時間の更新期間では、3時間後に更新
    • 5時間の有効期間/0時間の更新期間では、4時間後に更新

    最少の更新期間は1時間である(1時間以下の更新期間は反映できない)こと、(少なくても短い期間では)有効期限の80%が下限であること、などがわかると思います。これは先のスレッドにも「仕様」として書かれていることです。

    少なくとも、[有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する]ポリシー内に、「更新期間」を指定する情報はありません。従ってこのポリシーの内容から「更新期間」をたどろうとしても、徒労に終わってしまうと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年8月16日 2:44
    • 回答としてマーク しとろん樹 2016年8月25日 1:20
    2016年8月15日 3:52
    モデレータ
  • チャブーン様

    回答、ありがとうございます。

    更新期間の設定は、テンプレートからのみ設定可能だということですね。

    ありがとうございました。

    2016年8月16日 4:48