証明機関(CA)で発行される「RASおよびIASサーバー」テンプレートを使用した証明書を発行すると有効期限は通常2年です。
この有効期限をもっと長い証明書を発行する方法を紹介します。
レジュメ
前提条件
- Windows Server 2012 R2 (ADサーバー)
と
- Windows Server 2012 R2 (エンタープライズCAサーバー)。ドメイン参加済
- エンタープライズCAの有効期限は10年で構築
- 証明書テンプレートの有効期限を10年で作成
と
- Windows Server 2012 R2 (証明書が欲しいサーバー)。ドメイン参加済
(ここからCAサーバーに証明書の要求を実行)
この条件で「RASおよびIASサーバー」証明書テンプレートを使用して証明書を発行した場合、有効期限2年の証明書が発行されてしまいます。
わかりやすさから3台のサーバーを使用し、確認しています。
結論、CAサーバーの「ValidityPeriodUnits」レジストリ値を変更すると発行する証明書の有効期限を変えられる!
レジストリ値を変更し、証明機関のサービスを再起動すると、有効期限を延長した証明書が発行されるようになります。
証明機関(CA)の有効期間の確認方法
操作対象:CAサーバ
「ファイル名を指定して実行」から「mmc」を実行し、
「ファイル」メニューから「スナップインの追加と削除」をクリックします。
左の「利用できるスナップイン」から「証明書」を選択し、「追加」ボタンを押します。
「このスナップインで管理する証明書」は「コンピューターアカウント」を選択し「次へ」ボタンを押します。
「このスナップインで管理するコンピューター」は「ローカルコンピューター」を選択し「完了」ボタンを押します。
「証明書(ローカルコンピューター)」ー「個人」ー「証明書」をみると、「発行先」が
- ドメイン名-コンピュータ名-CA
と書かれているのが、証明機関の証明書になります。
今回は10年を指定したので、2017年+10年で2027年が有効期限になっているのがわかります。
通常の「新しい証明書の要求」で証明書を作成すると。証明書発行手順
操作対象:証明書が欲しいサーバー
レジストリ値を変更しないで「新しい証明書の要求」で証明書を作成してみます。
「証明書(ローカルコンピューター)」ー「個人」ー「証明書」を右クリックし「新しい証明書の要求」をクリックします。
「次へ」ボタンを押します。
「Active Directory登録ポリシー」を選択し、「次へ」ボタンを押します。
※ 「登録ポリシー」が表示されていない場合は、グループポリシーの
「コンピューターの構成\ポリシー\Windows の設定\セキュリティの設定\公開キーのポリシー」の「証明書サービス クライアント - 証明書登録ポリシー」が関係していそうです。
※ 前もって、「RASおよびIASサーバー」証明書テンプレートを複製し、「RASおよびIASサーバーのコピー」テンプレートを作っておきました。
証明書テンプレートの有効期限は、10年です。
こちらの「RASおよびIASサーバーのコピー」にチェックをいれ、「登録」ボタンを押します。
※ もしも「RASおよびIASサーバー」証明書テンプレートが表示されない場合
操作対象:ADサーバー
もしも「RASおよびIASサーバー」証明書テンプレートが表示されない場合は、コンピュータのADグループが「RAS and IAS Servers」に所属していないかもしれません。
ADサーバー上の「Active Directory ユーザーとコンピューター」を確認してみてください。
新規作成した証明書の有効期限は2年でした
操作対象:CAサーバー
テンプレートで有効期限を10年で作成したのに、何故か出来あがったのは二年になります。
レジストリ値を10年に変えて新しく証明書を作成した場合
操作対象:CAサーバー
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\CertSvc\Configuration\ドメイン名-マシン名-CA
- 「ValidityPeriod」が「Years」であることと
- 「ValidityPeriodUnits」の値を「10」に変えると、10年の有効期限となります。
まずは「ValidityPeriodUnits」レジストリ値を「10」に変更します。
ちなみに、デフォルト値は
- 「ValidityPeriod」が「Years」
- 「ValidityPeriodUnits」の値を「2」
です。
証明機関サービスの停止と開始をします
操作対象:CAサーバー
次に、四角ボタンで証明機関サービスを停止させ、
三角ボタンで証明機関サービスを開始させます。
再度証明書を発行すると
操作対象:証明書が欲しいサーバー
最後に再度、証明書の発行手順で証明書を再作成すると有効期限10年の証明書を作成できました。