Remove From My Forums

CAサーバ移行後､既存クライアントはいかにして新CAを知るのか

質問
0

サインインして投票

いつもお世話になります。
証明機関についてわからない点があるので教えてください(2012R2以降であるとして）。

前提

AD環境下におけるエンタープライズCAのマシン老朽化にともない、秘密キーを引き継ぎ、旧証明機関のバックアップと新CAへのリストアで、ドメイン内の別のホストへ移行したとします。
旧CA機はドメイン離脱とします。

旧CAが発行した証明書に記載されているCRL配布ポイント（デフォルトでは発行したCA機）もなくなりますよね？

疑問

こうした場合、旧CAから証明書をもらっていたクライアントはどのような流れで新CAを知るのでしょうか

2020年7月7日 7:30

返信

|

引用

回答

0

サインインして投票
チャブーンです。

この件ですが、質問者さんがしたの方法で移行を行う限り、新CAの扱いにそもそもならないので、大丈夫です。

https://social.technet.microsoft.com/Forums/ja-JP/5284b2d6-2f60-474d-9e71-d1f1917e036b/

CA情報は基本的にLDAP内に書かれており、CRL等の公開ポイントもすべてActive Directory上に公開されています。CAの識別子は「CA名」という独自の規格であり、CAをホストするサーバー名とは無関係です(正確にはサーバー名を元に生成されますが、いったん生成されたら、以後ホスト名の影響は受けません)。

上記の方法でCAを移行しなければならない、その理由はCA名を現状から変えないで移行する必要があるためで、それがキチンとできていれば、何も心配する必要はない、というわけです。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答としてマーク iwasa 2020年7月9日 0:29
2020年7月7日 23:00

返信

|

引用

モデレータ

すべての返信

0

サインインして投票

旧CAの発行済みの証明書に関して、CRL配布ポイントの情報が自動的に更新されることはないと思います。新CAの証明書に切り替えることによって、新しいCRL配布ポイントが使用されるようになります。

このため、旧CAが発行した証明書が使用されている間は、旧CAと旧CRL配布ポイントを維持する必要があります。

ご参考になれば幸いです。

2020年7月7日 22:13

返信

|

引用
0

サインインして投票
チャブーンです。

この件ですが、質問者さんがしたの方法で移行を行う限り、新CAの扱いにそもそもならないので、大丈夫です。

https://social.technet.microsoft.com/Forums/ja-JP/5284b2d6-2f60-474d-9e71-d1f1917e036b/

CA情報は基本的にLDAP内に書かれており、CRL等の公開ポイントもすべてActive Directory上に公開されています。CAの識別子は「CA名」という独自の規格であり、CAをホストするサーバー名とは無関係です(正確にはサーバー名を元に生成されますが、いったん生成されたら、以後ホスト名の影響は受けません)。

上記の方法でCAを移行しなければならない、その理由はCA名を現状から変えないで移行する必要があるためで、それがキチンとできていれば、何も心配する必要はない、というわけです。
フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点をご一読のうえ、お楽しみください。
- 回答としてマーク iwasa 2020年7月9日 0:29
2020年7月7日 23:00

返信

|

引用

モデレータ
0

サインインして投票

チャブーンさんありがとうございます。

おっしゃる通り、MicrosoftDocsに公開されている手順通りに移行を行う予定です。

ありがとうございました

2020年7月9日 0:30

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

CAサーバ移行後､既存クライアントはいかにして新CAを知るのか

質問

回答

すべての返信