ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADCS(証明機関)の証明書の有効期限を増やしたい場合はエンタープライズCA

WEBアクセスをセキュアにする方法でよく利用されるのが証明書。


この証明書の利用でトラブルになりやすいのが、証明書の有効期限です。例えば、私の場合は、マイクロソフトの証明機関を構築したことがあるのですが、よく言われるのが、セキュリティを高める為に、証明書の有効期限を適切なものにしてくださいとあります。


その為、証明機関の発行する証明書の有効期限を短くするケースがあります。


しかし、これが問題の発端となります。例えば、証明書の有効期限が短くて、更新をしなければならないというシステムがあって、システム担当者が変わる場合です。


情報の引継ぎがうまく行なわれておらず、ある日、突然、システムが利用できなくなるトラブルに見舞われます。


その為、セキュリティ要件がそれほど高くないシステムであれば、証明書の有効期限を長く設定したほうがいいですね。


ちなみに、マイクロソフトの証明書サービスを構築する場合、スタンドアロンCAでは証明書の有効期限を変更することができません。


その為、証明書の有効期限を延ばしたい場合は、エンタープライズCAを構築します。エンタープライズCAであれば、証明書のテンプレートをカスタマイズして発行することができます。

>>Windows Server 2012 R2へ証明書サービス(AD CS)のインストール手順


スタンドアロンCAは操作可能な項目が少ないので、柔軟性の高いエンタープライズCAを選択したほうがいいですね。


また、エンタープライズCAであれば、ADと連携してグループポリシーで証明書の自動登録も可能です。


ちなみに、証明書テンプレートの有効期間、更新機関を変更する手順です。

【証明書テンプレートの有効期間および更新期間を変更する手順】
①証明書テンプレート スナップインを開きます。
②詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。
③[全般] タブで、現在の有効期間および更新期間の値を確認し、必要に応じてそれらを変更して、[適用] をクリックします。


証明書の有効期限はトラブルの原因になりますので、証明書の期間は適切に設定しましょう。