ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

ADCS SHA2移行 証明書の書き換え 新しい公開キーと秘密キーの組を作成はどちらを選択?

Windows ServerでCA局を構築する場合は、ADCSになりますが、ADCSのSHA2移行時に証明書の書き換え 新しい公開キーと秘密キーの組を作成はどちらを選択すればいいのかという判断に迷うポイントに関する情報です。


というのも、こちらの情報を見ると、SHA2に移行する場合は、「いいえ」を選択する必要がありそうです。

https://social.technet.microsoft.com/Forums/ja-JP/ba6c938e-2d67-47e8-a5c6-fe049e5bcf5c/windows-server-2008-r2?forum=windowsserver2008ja


以下は抜粋ですが、「CA証明書の書き換え]を行う際に「新しい公開キーと秘密キーの組を作成しますか?」の部分は「はい(Y)」を選択します。いいえを選んだ場合、以前の秘密鍵がそのまま使われますので(これはSHA1です)SHA2になることはありません。」とあります。

 

うえの手順にはポイントが3つあります。どれも重要かつ不可欠です。

レジストリを正しく変更します。certutilコマンドで変更できますが、誤っていると有効になりません。
②[Windows証明機関]サービスを再起動します。再起動しない場合、変更したレジストリの設定が反映しないので、変更の意味がありません。
③[CA証明書の書き換え]を行う際に「新しい公開キーと秘密キーの組を作成しますか?」の部分は「はい(Y)」を選択します。いいえを選んだ場合、以前の秘密鍵がそのまま使われますので(これはSHA1です)SHA2になることはありません。

 

続いてこちらの情報。

https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy/

 

新しいキーまたは同じキーでオフラインルート証明書を更新すると、以下のスクリーンショットに示すように、独自の証明書がSHA256署名で署名されます。

どちらで動作するのか気になりますが、検証してみます。


その後、検証をしてみましたが、「いいえ」を選んでも署名アルゴリズムはsha256RSAになっていました。CA局は気軽に作業できないので、事前検証できる環境は必須ですね。