none
下位CAの証明書の有効期限を変更することについて RRS feed

  • 質問

  • こんにちは。
    下位CA証明書の有効期限を10年に設定したいのですが方法はないでしょうか?

    具体的には、Windows Server 2012 R2 上にCAを構築する前提で、

    1.ルートCAの有効期限を10年に設定
    2.下位CAのレジストリ値を10年に設定

    を考えたのですが、5年を超えた期限を設定できません。

    http://msdn.microsoft.com/ja-jp/library/cc740209(v=ws.10).aspx

    の記載を見つけましたが、

    Windows Server 2012 R2 でも同じく下位CAの最大有効期間5年という制限が働いているのでしょうか?

    (証明書テンプレートの有効期限を10年に変更はまだ未実施です)

    あと、何か方策をご指南いただけたとして、

    そのような設定で運用した場合に、メーカーサポートは得られるのでしょうか?

    宜しくお願いいたします。

    2015年1月7日 1:55

回答

  • チャブーンです。

    下位の証明機関の証明書有効期限を10年に設定することは、技術的には可能ですが、「既存環境のまま」設定するのはおそらくムリなのではないでしょうか?簡単に確認したところ、以下の手順であれば構成は可能でした。注意点として下位の証明機関は再インストールが必要ですし、下位証明機関での[証明機関]スナップインによる「証明書の書き換え」は正常に動作しないことを了承する必要があります(書き換え時にはデフォルトの証明書テンプレートが利用され、変更された証明書テンプレートは使用されないため)。

    1. ルート証明機関のレジストリ設定または以下のCAPolicy.infを配置→ルート証明書の書き換えでルート証明書期限を10年
      http://blogs.technet.com/b/jpntsblog/archive/2013/10/07/ca.aspx
    2. ルート証明機関上で「下位の証明機関」の証明書テンプレートを複製して期限10年を設定し、証明書テンプレートとして登録
    3. 証明機関Web登録等で2の証明書テンプレートを使って、下位の証明機関用pfx証明書を取得
    4. 下位の証明機関を再インストールし、セットアップで3の証明書を使って構成する

    このような構成がサポートされるかどうかは、通常の設定構成の範囲内で行われており「サポートしない」と明言された情報はないので、サポートされる気はしますが、確約はできません。明確に知りたい場合、MS有償サポートに直接聞いていただく以外の方法はないでしょう。





    2015年1月7日 6:46
    モデレータ

すべての返信

  • チャブーンです。

    下位の証明機関の証明書有効期限を10年に設定することは、技術的には可能ですが、「既存環境のまま」設定するのはおそらくムリなのではないでしょうか?簡単に確認したところ、以下の手順であれば構成は可能でした。注意点として下位の証明機関は再インストールが必要ですし、下位証明機関での[証明機関]スナップインによる「証明書の書き換え」は正常に動作しないことを了承する必要があります(書き換え時にはデフォルトの証明書テンプレートが利用され、変更された証明書テンプレートは使用されないため)。

    1. ルート証明機関のレジストリ設定または以下のCAPolicy.infを配置→ルート証明書の書き換えでルート証明書期限を10年
      http://blogs.technet.com/b/jpntsblog/archive/2013/10/07/ca.aspx
    2. ルート証明機関上で「下位の証明機関」の証明書テンプレートを複製して期限10年を設定し、証明書テンプレートとして登録
    3. 証明機関Web登録等で2の証明書テンプレートを使って、下位の証明機関用pfx証明書を取得
    4. 下位の証明機関を再インストールし、セットアップで3の証明書を使って構成する

    このような構成がサポートされるかどうかは、通常の設定構成の範囲内で行われており「サポートしない」と明言された情報はないので、サポートされる気はしますが、確約はできません。明確に知りたい場合、MS有償サポートに直接聞いていただく以外の方法はないでしょう。





    2015年1月7日 6:46
    モデレータ
  • チャブーン様

    mao0215です。

    早々に回答いただき感謝いたします。

    頂いた設定で無事動作を確認できました。(今回はActive Directory 証明書サービスを利用しました)

    ありがとうございました。

    • 回答としてマーク mao0215 2015年1月13日 5:15
    • 回答としてマークされていない mao0215 2015年1月13日 5:15
    2015年1月13日 5:14