本記事はマイクロソフト社員によって公開されております。
こんにちは。Windows Commercial Support Directory Services チームです。
このページでは、エンタープライズ ルート CA の切り戻し手順についてご紹介いたします。
本手順では、以下のページでご確認いただけます 「エンタープライズ ルート CA の移行手順について」にて、 『(1) 旧 CA で、CA データベース、CA 証明書と秘密キー、構成情報、CDP/AIA の設定を保存する』 『(2) 旧 CA で、証明書テンプレートをバックアップする』の手順で取得したバックアップを利用して切り戻しを行います。
1. 切り戻し手順について
切り戻し手順の概要
CA の切り戻し手順の概要は以下の通りです。
(2) 旧 CA で、既定の証明書テンプレートをロードしないように、CA 構成ファイル (CAPolicy.inf) を作成する
(4) 旧 CA で、CA 証明書 (秘密キー) 及び CA データベースを復元する
(8) 実際に証明書を利用している環境(ドメイン環境、ワークグループ環境)で、旧証明書が継続利用できるかどうかを検証する
(1) 新 CA で、証明書サービスをアンインストールする
- 新 CA に管理者ユーザーでログオンします。
- [サーバー マネージャ] を開き、画面上部より [管理] - [役割と機能の削除] をクリックします。
- [開始する前に] の画面が表示される場合には、[次へ] ボタンをクリックします。
- [対象サーバーの選択] にて、[サーバー プールからサーバーを選択] を選択し、[サーバー プール] に表示されているホストを選択し、[次へ] をクリックします。
- [サーバーの役割の削除] 画面で、[Active Directory 証明書 サービス] のチェックボックスを OFF にします。
※[証明機関 Web 登録] がインストールされている場合は、先に [証明機関 Web 登録] のみをアンインストールする必要があります。
- [管理ツールを削除する] のチェックボックスを ON にして、[機能の削除] をクリックします。
- ウィザードの最後まで、[次へ] ボタンをクリックします。
- [削除 オプションの確認] 画面にて、[削除] ボタンをクリックします。
- 削除が完了したら、[閉じる] ボタンをクリックします。
- 再起動を実施して上記で実施したアンインストールの内容を適用します。
(2) 旧 CA で、既定の証明書テンプレートをロードしないように、CA 構成ファイル (CAPolicy.inf) を作成する
証明書サービスをインストールしますと、既定の証明書テンプレート(複数)が利用されるように、CA が構成されます。
その結果、管理者が適切な証明書テンプレートを利用するよう、CA の構成変更を行うまでの間に、意図しない証明書が発行されてしまう可能性があります。
この問題に対応するためには、証明書サービスがインストールされた時に、既定の証明書テンプレートが利用されないように、
構成ファイル (CAPolicy.inf) を作成してから、証明書サービスをインストールします。
旧 CA で、エクスプローラを開きます。
[Alt] キーを押し、画面上部に表示されたメニューの中から、[ツール] - [フォルダー オプション] をクリックします。
[表示] タブをクリックし、[登録されている拡張子は表示しない] のチェックボックスを OFF にし、[OK] をクリックします。
“C:\Windows\CAPolicy.inf” ファイルを作成します。
4-1. C:\Windows フォルダを開きます。
4-2. [Alt] キーを押し、画面上部に表示されたメニューの中から、[ファイル] - [新規作成] - [Text Document] をクリックします。
4-3. ファイル名として、CAPolicy.inf と入力し、[Enter] キーを押します。上記 4. で作成した CAPolicy.inf をメモ帳で開き、下記内容(2 行)を追記し、上書き保存します。
[Certsrv_Server]
LoadDefaultTemplates = 0
(3) 旧 CA で、証明書サービスをインストールする
※証明書サービスをインストールすると、CA サーバーのホスト名の変更や、ドメイン参加や離脱ができなくなります。
そのため、当手順を実施する前に、必要に応じて CA サーバーのホスト名の変更、ドメイン参加や離脱の作業を実施してください。
- 旧 CA に管理者ユーザーでログオンします。
- [サーバー マネージャー] を開き、左画面から [役割] を右クリックし、「役割の追加」をクリックします。
- [開始する前に] 画面が表示される場合には、[次へ] をクリックします。
- [Active Directory 証明書サービス] にチェックを入れ、[次へ]をクリックします。
- [Active Directory 証明書サービスについて] 画面が表示されたら、[次へ] をクリックします。
- [役割サービス] 画面にて、インストールする役割サービス(一般的には、以下の 2 つ)を選択します。
・ 証明機関
・ 証明機関 Web 登録
※ “証明機関 Web 登録に必要な役割サービスと機能を追加しますか?” と表示される場合には、[必要な役割サービスを追加] をクリックします。
- [役割サービス] 画面にて、[次へ] をクリックします。
- [セットアップの種類] 画面にて、旧 CA に合わせて [エンタープライズ] を指定し、[次へ] をクリックします。
- [CA の種類] 画面にて、旧 CA に合わせて [ルート CA] を指定し、[次へ] をクリックします。
- [秘密キー] 画面にて、[既存の秘密キーを使用する] - [証明書を選択し、関連付けられている秘密キーを使用する] を選択し、[次へ] をクリックします。
- [証明書] の一覧で、[インポート] をクリックし、(9) の手順でエクスポートした既存の CA 証明書 (CA_NAME.p12) を選択し、[次へ] をクリックします。
- [証明書データベース] 画面で、CA データベースと、ログ ファイルの場所を “既定” のまま、[次へ] をクリックします。(※ (4) の手順で 旧 CA の構成情報をインポートしますため、ここでは既定の設定のまま進めて問題ありません)
- 上記 6. で [証明機関 Web 登録] を選択し、[必要な役割サービスを追加] をクリックした場合には、ここで [Web サーバー (IIS)]、および、[役割サービスの選択] 画面が表示されますが、既定の設定のまま、[次へ] をクリックします。
- [インストール オプションの確認] 画面にて、[インストール] をクリックします。
(4) 旧 CA で、CA 証明書 (秘密キー) 及び CA データベースを復元する
- 旧 CA に管理者ユーザーでログオンします。
- [スタート] - [管理ツール] - [証明機関] をクリックします。
- [<CA 名>] を右クリックし、[すべてのタスク] から [CA の復元] を選択します。
※証明書サービスを停止する旨の確認メッセージが表示された場合は、[OK] をクリックして、証明書サービスを停止します。
- [証明機関の復元ウィザードの開始] 画面にて、[次へ] ボタンをクリックします。
- [復元する項目] にて、[秘密キーと CA 証明書]、及び、[証明書データベースおよび証明書データベースのログ] のチェックボックスを ON にします。
- [この場所から復元する] の項目にて [参照] ボタンをクリックし、先の手順 (1)-1-6 で保存したバックアップフォルダ (例:C:\Ca_Backup) を指定して、[次へ] をクリックします。
- [パスワード] の項目にて、先の手順 (1)-1-7 で指定したパスワードを入力して、[次へ] をクリックします。
- [証明機関の復元ウィザードの完了] 画面にて、[完了] ボタンをクリックします。
- 証明書サービスを開始するかどうかを確認するダイアログが表示されましたら、[いいえ] をクリックします。
(5) 旧 CA で、CA 構成情報を復元する
旧 CA に管理者ユーザーでログオンします。
事前に採取した構成情報のバックアップ (レジストリ ファイル) をダブル クリックし、構成情報をインポートします。
(※ レジストリの変更を警告するダイアログが表示されますが、[はい] をクリックして続行してください。)[スタート] - [管理ツール] - [証明機関] をクリックします。
[証明機関 (ローカル)] - [<CA 名>] を右クリックし、[すべてのタスク] - [サービスの開始] をクリックし、証明書サービスを開始します。
(※ 既に開始している場合には、一度 [サービスの停止] をクリックしてから、[サービスの開始] をクリックしてください。)
(6) 旧 CA で、証明書テンプレートをリストアする
クライアント端末の [信頼されたルート証明機関] ストアにルート証明書が登録されていると、そのルート証明機関は信頼されます。
また、そのルート証明機関の配下にある中間証明機関も信頼されます。
証明機関を信頼すれば、その証明機関で発行している証明書も信頼できることになります。
そのため、Web サーバーから提示されたサーバー証明書は信頼できる証明書と判断されるようになります。
(7) 旧 CA で、CRL を公開できることを確認する
正しく CA の復元や設定ができていることを確認するために、下記手順にて、実際に CRL を公開できることを確認します。
- 旧 CA に管理者ユーザーでログオンします。
- [スタート] - [管理ツール] - [証明機関 (ローカル)] をクリックします。
- [<CA 名>] - [失効した証明書] を右クリックし、[プロパティ] をクリックします。
- [CRL 公開のパラメーター] タブの下記項目が、(14) の手順で “延長する前” の設定に、戻っていることを確認し、[OK] をクリックします。
(※ バックアップから設定をリストアしたことにより、延長した有効期限の設定が元に戻っておりますが、この後 CRL を公開するまでは、有効期限が延長された CRL が利用され続けます。)
[CRL 公開期間] : 1 週 (既定値)
[Delta CRL を公開する] - [公開期間] : 1 日 (既定値)
- [<CA 名>] - [失効した証明書] を右クリックし、[すべてのタスク] - [公開] をクリックします。
- [新しい CRL] が選択されていることを確認し、[OK] をクリックします。
※上記 6. を実施後、エラーが発生していない限りは、特にダイアログは表示されません。
そのため、以下の手順で実際に新しい CRL が公開されているかご確認ください。
- [<CA 名>] - [失効した証明書] を右クリックし、[プロパティ] をクリックします。
- [CRL の表示] タブにて、[CRL の表示] ボタンをクリックします。
- [全般] タブにて、[次の更新予定] が上記 4. で確認した期間になっていることを確認し、[OK] をクリックします。
(8) 実際に証明書を利用している環境(ドメイン環境、ワークグループ環境)で、旧証明書が継続利用できるかどうかを検証する
旧証明書が、CA 切り戻し後も正常に利用できるかどうかを、検証します。
検証を目的とする属性(CDP や AIA)は、全証明書に共通して含まれているため、検証のために使用する証明書は、どの証明書であっても問題ありません。
従いまして、今回は、旧 CA のバックアップを取得したときにエクスポートしておいた証明書を利用して、検証を行う手順をご案内いたします。
また、以下の検証は、実際に証明書を利用している環境(ドメイン環境、ワークグループ環境)ごとに、実施してください。
- 実際に証明書を利用しているコンピューターに、任意のユーザーでログオンします。
- 旧 CA のバックアップを取得したときにエクスポートした旧証明書を、当該コンピューターにコピーします。
- 以下のコマンドを実行します。
certutil -v -urlfetch -verify <旧証明書のパス>
例:certutil -v -urlfetch -verify C:\old-example.cer
- 証明書のチェーンごとに記録される、下記 4 つの項目の URL をご確認ください。
・ 証明書 AIA
・ 証明書 CDP
・ Base CRL CDP
・ 証明書 OCSP
// 正常性の確認方法
各項目に URL が 1 つ以上存在する場合、1 つでも [OK] または [確認済み] の文字が存在すれば、その証明書は利用可能であると判断できます。
この際、 [失敗] の文字が混在していても問題ございません。
また、各項目に URL が 1 つも存在しない場合、[URL なし] と表記されますが、この場合も問題ございません。
2. 補足情報
以下の公開情報内で、CA の移行に関する情報をご案内しております。よろしければご参照ください。
Migrate the Certification Authority
AD CS Migration: Migrating the Certification Authority
更新履歴
2025/06/09 : 本ブログの公開