エンタープライズ ルート CA の切り戻し手順について

Last Update:
Public Key InfrastructureCertificate Authority
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。
このページでは、エンタープライズ ルート CA の切り戻し手順についてご紹介いたします。

本手順では、以下のページでご確認いただけます 「エンタープライズ ルート CA の移行手順について」にて、 『(1) 旧 CA で、CA データベース、CA 証明書と秘密キー、構成情報、CDP/AIA の設定を保存する』 『(2) 旧 CA で、証明書テンプレートをバックアップする』の手順で取得したバックアップを利用して切り戻しを行います。
記載している手順も以下の移行手順をもとに作成されておりますので、ご留意いただけますと幸いです。

エンタープライズ ルート CA の移行手順について

1. 切り戻し手順について

切り戻し手順の概要

CA の切り戻し手順の概要は以下の通りです。

(1) 新 CA で、証明書サービスをアンインストールする
(2) 旧 CA で、既定の証明書テンプレートをロードしないように、CA 構成ファイル (CAPolicy.inf) を作成する
(3) 旧 CA で、証明書サービスをインストールする
(4) 旧 CA で、CA 証明書 (秘密キー) 及び CA データベースを復元する
(5) 旧 CA で、CA 構成情報を復元する
(6) 旧 CA で、証明書テンプレートをリストアする
(7) 旧 CA で、CRL を公開できることを確認する
(8) 実際に証明書を利用している環境(ドメイン環境、ワークグループ環境)で、旧証明書が継続利用できるかどうかを検証する

(1) 新 CA で、証明書サービスをアンインストールする

  1. 新 CA に管理者ユーザーでログオンします。
  2. [サーバー マネージャ] を開き、画面上部より [管理] - [役割と機能の削除] をクリックします。
  3. [開始する前に] の画面が表示される場合には、[次へ] ボタンをクリックします。
  4. [対象サーバーの選択] にて、[サーバー プールからサーバーを選択] を選択し、[サーバー プール] に表示されているホストを選択し、[次へ] をクリックします。
  5. [サーバーの役割の削除] 画面で、[Active Directory 証明書 サービス] のチェックボックスを OFF にします。
  6. [管理ツールを削除する] のチェックボックスを ON にして、[機能の削除] をクリックします。
  7. ウィザードの最後まで、[次へ] ボタンをクリックします。
  8. [削除 オプションの確認] 画面にて、[削除] ボタンをクリックします。
  9. 削除が完了したら、[閉じる] ボタンをクリックします。
  10. 再起動を実施して上記で実施したアンインストールの内容を適用します。

(2) 旧 CA で、既定の証明書テンプレートをロードしないように、CA 構成ファイル (CAPolicy.inf) を作成する

証明書サービスをインストールしますと、既定の証明書テンプレート(複数)が利用されるように、CA が構成されます。
その結果、管理者が適切な証明書テンプレートを利用するよう、CA の構成変更を行うまでの間に、意図しない証明書が発行されてしまう可能性があります。
この問題に対応するためには、証明書サービスがインストールされた時に、既定の証明書テンプレートが利用されないように、
構成ファイル (CAPolicy.inf) を作成してから、証明書サービスをインストールします。

  1. 旧 CA で、エクスプローラを開きます。
  2. [Alt] キーを押し、画面上部に表示されたメニューの中から、[ツール] - [フォルダー オプション] をクリックします。
  3. [表示] タブをクリックし、[登録されている拡張子は表示しない] のチェックボックスを OFF にし、[OK] をクリックします。
  4. “C:\Windows\CAPolicy.inf” ファイルを作成します。
    4-1. C:\Windows フォルダを開きます。
    4-2. [Alt] キーを押し、画面上部に表示されたメニューの中から、[ファイル] - [新規作成] - [Text Document] をクリックします。
    4-3. ファイル名として、CAPolicy.inf と入力し、[Enter] キーを押します。
  5. 上記 4. で作成した CAPolicy.inf をメモ帳で開き、下記内容(2 行)を追記し、上書き保存します。

[Certsrv_Server]
LoadDefaultTemplates = 0

(3) 旧 CA で、証明書サービスをインストールする

<証明機関のインストール>

  1. 旧 CA サーバーに管理者ユーザーでログオンします。
  2. [サーバー マネージャ] を開き、画面上部より [管理] - [役割と機能の追加] をクリックします。
  3. [開始する前に] 画面が表示された場合には、[次へ] をクリックします。
  4. [インストールの種類の選択] にて [役割ベースまたは機能ベースのインストール] を選択し、[次へ] をクリックします。
  5. [対象サーバーの選択] にて、[サーバー プールからサーバーを選択] を選択し、[サーバー プール] に表示されているホストを選択し、[次へ] をクリックします。
  6. [サーバーの役割の選択] にて [Active Directory 証明書サービス] を選択し、[次へ] をクリックします。
    ※ チェックを入れた際に [Active Directory 証明書サービスに必要な機能を追加しますか] のダイアログが表示された場合、[管理ツールを含める] をチェックし [機能の追加] をクリックします。
  7. [機能の選択] にて既定のまま [次へ] をクリックします。
  8. [Active Directory 証明書サービス] にて [次へ] をクリックします。
  9. [役割サービスの選択] では [証明機関] を選択し [次へ] をクリックします。
  10. 以後、既定のまま [次へ] をクリックし、ウィザードを最後まで進めます。
  11. ウィザードの最後に表示される、[インストールオプションの確認] にて [インストール] をクリックします。

<証明機関の構成>

  1. [サーバー マネージャ] を開き画面上部の [通知] アイコンをクリックし、[対象サーバーに Active Directory 証明書サービスを構成する] をクリックします。
  2. [資格情報] にて、インストールを行う管理者アカウントを指定し、[次へ] をクリックします。
  3. [役割サービス] にて [証明機関] を選択し [次へ] をクリックします。
  4. [セットアップの種類] 画面にて、旧 CA に合わせて [エンタープライズ] を指定し、[次へ] をクリックします。
  5. [CA の種類] 画面にて、旧 CA に合わせて [ルート CA] を指定し、[次へ] をクリックします。
  6. [秘密キー] 画面にて、[既存の秘密キーを使用する] - [証明書を選択し、関連付けられている秘密キーを使用する] を選択し、[次へ] をクリックします。
  7. [証明書] の一覧で、[インポート] をクリックし、エンタープライズ ルート CA の移行手順についての『(1) 旧 CA で、CA データベース、CA 証明書と秘密キー、構成情報、CDP/AIA の設定を保存する』で取得したバックアップにある既存の CA 証明書 (<CA 名>.p12) を選択し、[次へ] をクリックします。
  8. 表示された証明書を選択して、[次へ] をクリックします。
  9. [CA データベース] にて、証明書データベース、および証明書データベース ログの場所を指定して、[次へ] をクリックします。(後述の手順で 旧 CA の構成情報をインポートしますため、ここでは既定の設定のまま進めて問題ありません)
  10. 最後に、[構成] ボタンをクリックします。
  11. 構成が終了しましたら [閉じる] ボタンをクリックします。

(4) 旧 CA で、CA 証明書 (秘密キー) 及び CA データベースを復元する

  1. 旧 CA に管理者ユーザーでログオンします。
  2. [スタート] - [管理ツール] - [証明機関] をクリックします。
  3. [<CA 名>] を右クリックし、[すべてのタスク] から [CA の復元] を選択します。

※証明書サービスを停止する旨の確認メッセージが表示された場合は、[OK] をクリックして、証明書サービスを停止します。

  1. [証明機関の復元ウィザードの開始] 画面にて、[次へ] ボタンをクリックします。
  2. [復元する項目] にて、[秘密キーと CA 証明書]、及び、[証明書データベースおよび証明書データベースのログ] のチェックボックスを ON にします。
  3. [この場所から復元する] の項目にて [参照] ボタンをクリックし、エンタープライズ ルート CA の移行手順についての『(1) 旧 CA で、CA データベース、CA 証明書と秘密キー、構成情報、CDP/AIA の設定を保存する』で保存したバックアップフォルダ (例:C:\Ca_Backup) を指定して、[次へ] をクリックします。
  4. [パスワード] の項目にて、先の手順 (1)-1-7 で指定したパスワードを入力して、[次へ] をクリックします。
  5. [証明機関の復元ウィザードの完了] 画面にて、[完了] ボタンをクリックします。
  6. 証明書サービスを開始するかどうかを確認するダイアログが表示されましたら、[いいえ] をクリックします。

(5) 旧 CA で、CA 構成情報を復元する

  1. 旧 CA に管理者ユーザーでログオンします。
  2. エンタープライズ ルート CA の移行手順についての『(1) 旧 CA で、CA データベース、CA 証明書と秘密キー、構成情報、CDP/AIA の設定を保存する』で採取した構成情報のバックアップ (レジストリ ファイル) をダブル クリックし、構成情報をインポートします。
    (※ レジストリの変更を警告するダイアログが表示されますが、[はい] をクリックして続行してください。)
  3. [スタート] - [管理ツール] - [証明機関] をクリックします。
  4. [証明機関 (ローカル)] - [<CA 名>] を右クリックし、[すべてのタスク] - [サービスの開始] をクリックし、証明書サービスを開始します。
    (※ 既に開始している場合には、一度 [サービスの停止] をクリックしてから、[サービスの開始] をクリックしてください。)

(6) 旧 CA で、証明書テンプレートをリストアする

  1. 旧 CA に管理者ユーザーでログオンします。
  2. [スタート] - [管理ツール] - [証明機関] をクリックします。
  3. 画面左にて、[<CA 名>] - [証明書テンプレート] を右クリックし、[新規作成] - [発行する証明書テンプレート] をクリックします。
  4. エンタープライズ ルート CA の移行手順について」にて、『(2) 旧 CA で、証明書テンプレートをバックアップする』の手順でエクスポートしたテンプレートと、同じテンプレートを選択し、[OK] をクリックします。

(7) 旧 CA で、CRL を公開できることを確認する

正しく CA の復元や設定ができていることを確認するために、下記手順にて、実際に CRL を公開できることを確認します。

  1. 旧 CA に管理者ユーザーでログオンします。
  2. [スタート] - [管理ツール] - [証明機関 (ローカル)] をクリックします。
  3. [<CA 名>] - [失効した証明書] を右クリックし、[プロパティ] をクリックします。
  4. [CRL 公開のパラメーター] タブの下記項目が意図した設定となっているかを確認し、[OK] をクリックします。
    (※ バックアップから設定をリストアしたことにより、延長した有効期限の設定が元に戻っておりますが、この後 CRL を公開するまでは、有効期限が延長された CRL が利用され続けます。)

[CRL 公開期間] : 1 週 (既定値)
[Delta CRL を公開する] - [公開期間] : 1 日 (既定値)

  1. [<CA 名>] - [失効した証明書] を右クリックし、[すべてのタスク] - [公開] をクリックします。
  2. [新しい CRL] が選択されていることを確認し、[OK] をクリックします。

※上記 6. を実施後、エラーが発生していない限りは、特にダイアログは表示されません。
そのため、以下の手順で実際に新しい CRL が公開されているかご確認ください。

  1. [<CA 名>] - [失効した証明書] を右クリックし、[プロパティ] をクリックします。
  2. [CRL の表示] タブにて、[CRL の表示] ボタンをクリックします。
  3. [全般] タブにて、[次の更新予定] が上記 4. で確認した期間になっていることを確認し、[OK] をクリックします。

(8) 実際に証明書を利用している環境(ドメイン環境、ワークグループ環境)で、旧証明書が継続利用できるかどうかを検証する

旧証明書が、CA 切り戻し後も正常に利用できるかどうかを検証します。
検証を目的とする属性(CDP や AIA)は、全証明書に共通して含まれているため、検証のために使用する証明書は、どの証明書であっても問題ありません。
従いまして、今回は「エンタープライズ ルート CA の移行手順について」にて、 旧 CA のバックアップを取得したときにエクスポートしておいた証明書を利用して、検証を行う手順をご案内いたします。
また、以下の検証は、実際に証明書を利用している環境(ドメイン環境、ワークグループ環境)ごとに、実施してください。

  1. 実際に証明書を利用しているコンピューターに、任意のユーザーでログオンします。
  2. 旧 CA のバックアップを取得したときにエクスポートした旧証明書を、当該コンピューターにコピーします。
  3. 以下のコマンドを実行します。

certutil -v -urlfetch -verify <旧証明書のパス>
例:certutil -v -urlfetch -verify C:\old-example.cer

  1. 証明書のチェーンごとに記録される、下記 4 つの項目の URL をご確認ください。

・ 証明書 AIA
・ 証明書 CDP
・ Base CRL CDP
・ 証明書 OCSP

// 正常性の確認方法
各項目に URL が 1 つ以上存在する場合、1 つでも [OK] または [確認済み] の文字が存在すれば、その証明書は利用可能であると判断できます。
この際、 [失敗] の文字が混在していても問題ございません。
また、各項目に URL が 1 つも存在しない場合、[URL なし] と表記されますが、この場合も問題ございません。

2. 補足情報

以下の公開情報内で、CA の移行に関する情報をご案内しております。よろしければご参照ください。

Migrate the Certification Authority

AD CS Migration: Migrating the Certification Authority

更新履歴

2025/06/09 : 本ブログの公開