ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADCS CAルート証明書より期間の長いテンプレートから証明書を発行したらどうなるか

ADCS CAルート証明書より期間の長いテンプレートから証明書を発行したらどうなるかということで、有効期限が短い場合は、わりと早めにこの状態に遭遇するわけになりますが、その場合はどうなるのかということで、情報がありました。

 

テンプレートは、CA Certiicateよりも有効期間が長い証明書を発行します。どうなりますか?[複製]

pki - Template issues certificate with longer validity than CA Certiicate, what happens? - Server Fault

 

以下は質問内容の抜粋です。

 

たとえば、有効期間が2年の証明書テンプレートは、CA証明書の有効期限が1年になると、証明書が発行されるのでしょうか。

起こりうることは2つ考えられますが、これは推測に過ぎないので、知りたいと思います。私はおそらく次のことが起こると思います:

あなたはある種の通知をすることができます。
発行された証明書の有効期限は2年ではなく1年です。
誰かが私に何が起こるか教えてもらえますか?

 

確かにこの状態になるとどういった証明書が発行されるのが気になりますね。

 

 

続いて、回答内容の抜粋です。

 

発行された証明書の有効期限は2年ではなく1年です。

これは正解です。ADCSは証明書に署名しますが、発行された証明書の有効期間はCA証明書の有効期間を超えず、1年に制限されます。

これを回避するには、事前にCA証明書を更新する必要があります。せいぜいX、CA証明書の有効期限が切れる何年も前です。ここXで、は運用証明書テンプレート設定で指定された最長の有効期間です。つまり、運用テンプレートによって提供される最長の有効期間が3年である場合、CA証明書は有効期限の3年前(など)に更新する必要があります。

考慮すべきもう1つのポイント:常に* NEW *キーペアでCA証明書を更新します。これにより、チェーン構築中にすべてのクライアントが1つの認証パスのみを構築することが保証されます。そうしないと、より適切な代替手段が存在するときに間違った(期限切れの)チェーンが選択されたときに問題が発生する可能性があります。CAキーを再利用しないでください。

 

証明書を使い続けたい場合は、CA局のルート証明書自体を更新します。