ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

ADCSのSHA2移行後にサーバ証明書、クライアント証明書がSHA2で発行されているかの確認方法

ADCSのSHA2移行後にサーバ証明書、クライアント証明書がSHA2で発行されているかの確認方法について説明したいと思います。

 

ADCSのSHA2移行方法は、以下の公式情報が参考になります。

 

暗号化サービスプロバイダー(CSP)からキーストレージプロバイダー(KSP)への証明機関キーの移行

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn771627(v=ws.11)?redirectedfrom=MSDN

 

これから作る認証局はSHA2になっているものと思いますが、古いOSで構築したものはいまだにSHA1の証明書で運営していることと思います。

 

上記手順に従うことでSHA1で運営している証明機関をSHA2に移行することができますが、気になるのは発行した証明書がSHA2になっているかどいうかの判断です。

 

証明書がSHA2になっているかどうかは、実際に証明書を発行してみることで確認できます。以下はマイクロソフトの公式サイトのサーバー証明書を参照させてもらいましたが、ブラウザでカギマークをクリックすると証明書を表示させることができます。

 

ここで「詳細」タブをクリックしてもらうと以下の画面が表示されます。署名アルゴリズム、署名ハッシュアルゴリズムを見てもらうと「sha256RSA」、「sha256」なっており、ここでSHA2アルゴリズムで作られた証明書ということが確認できます。

f:id:merrywhite:20191124155652p:plain

 

基本的にブラウザに関係なく、IEFireFoxGoogleChromeのどのブラウザでも証明書の確認が可能です。クライアント証明書を確認したい場合は、「mmc」で証明書ストアをチェックすることで確認が可能です。