ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

ADCS ルートCA証明書の更新後の古いルート証明書の利用について

ADCS ルートCA証明書の更新後の古いルート証明書の利用について気になったので調べてみました。

 

参考になりそうな情報がこちらです。

ADCS ルートCA証明書の更新に伴う派生元の証明書について

 

質問の抜粋です。

 

お世話になります。

Windows 2016環境でAD CS証明書機能を利用しております

CAルート証明書秘密鍵を変更せずに更新した後

ブラウザアクセス(IIS)を利用したユーザー証明書の取得の際、古い(派生元の)ルート証明書を利用して証明書を発行することはあるのでしょうか?

証明書を更新するタイミングでサービスが停止する為、古いルート証明書が利用されることは無いと考えているのですが、

どこかで制御出来るのでしょうか?

 

ルート証明書を秘密キーを変更せずに更新した場合の質問です。

 

 

続いて、回答の抜粋です。

 

この件ですが、ルート証明書を「同じ秘密キーで更新」した場合、中身の更新は一切ありませんので、究極的にはどちらでやっても問題はありません。基本的に有効な証明書が対象になるはずなので、有効期限がすぎれば完全にひとつになるはずですが、期間が重なっている場合もインデックスがあるため、たぶん大丈夫なのではないでしょうか?「AD CSWeb登録」サービスを動かして試してみれば、わかるように思います。

 

まず、参考になったのが、ルート証明書を「同じ秘密キーで更新」した場合、中身の更新は一切ないとのこと。

 

そして、どちらも有効期限内であれば利用可能な状態になります。

 

サーモス 保冷缶ホルダー 350ml缶用 ブラック JCB-352 BK