【ADCS】証明書失効・CRL手動発行方法

本記事では「Active Directory 証明書サービス」の証明書失効とCRL手動発行方法について紹介します。

※この記事では、「Active Directory 証明書サービス」をADCS、「Certificate Revocation List」をCRLと表現します。

なお、ADCSの構築や配布については別途記事にしていますので、併せてご覧ください。

CRLとは、何らかの理由で有効期限前に失効したデジタル証明書(公開鍵証明書)の一覧情報を記載したファイルのことです。

CRL は CDP と呼ばれる誰でもアクセス可能な場所に公開されており、CDP から CRL を取得して証明書が失効されていないか確認します。

CRL には 2 つ種類があり、Base CRL と Delta CRL があります。各 CRL ファイルには有効期間が設定されており、有効期限が切れる前に更新される動作となります。

Base CRL
- これまでに失効された全ての証明書の一覧が記載されているファイルです。
- Active Directory 証明書サービスで構築した証明機関の場合、ファイルの更新間隔は 7 日です。
Delta CRL
- 新たに失効された証明書の一覧が記載されているファイルです。
- Active Directory 証明書サービスで構築した証明機関の場合、ファイルの更新間隔は 1 日です。

証明書失効は、セキュリティの保護と信頼性の確保に重要な役割を果たします。本記事ではサーバー証明書失効には触れないず、クライアント証明書失効の場合について説明します。

証明書が失効した場合、ブラウザやクライアントはその証明書を信頼しないようにし、通信の安全性を確保するための措置を講じます。そのため、証明書失効をお客様環境や運用で実施する際は、ユーザーが退職した等の理由で実施します。

※一度失効させた証明書は、失効状態を取り消すことはできないため、注意する必要があります。

また、旧証明書がすでに失効している場合でも、PC内にはデータ(＝キャッシュ)として残っています。

その状態のまま新証明書インストールは可能ですが、旧証明書と新証明書が同じ環境に存在することでエラーが発生します。

再度証明書をインストールする必要がある場合はPCをキッティング時の状態にする必要があります。

ADCSサーバーにドメイン管理者アカウントでサインインし、[サーバーマネージャー]‐[ツール]-[証明機関]をクリックします。
[発行した証明書]から失効する証明書を選択し、有効期間・サブジェクトを確認します。
該当の発行した証明書を右クリックし、[すべてのタスク]‐[証明書の失効]をクリックします。
証明書失効にて理由コードに[証明書失効理由]と[失効日時]を指定し、[はい]をクリックします。[証明書失効理由]については、特に他の理由がない場合は[利用中止]を選択します。
※一度失効させた証明書は失効状態を取り消すことはできないため、注意して操作を行います。
[失効した証明書]の一覧に、証明書が追加されたことを確認します。
※[失効日列]および[サブジェクト]から証明書の失効を確認します。

CRLは1日1回自動で発行されるため、即時反映が必要な場合のみCRL手動操作を実施します。

ADCSサーバーに管理者権限をもつユーザーでサインインし、[サーバーマネージャー]‐[ツール]-[証明機関]をクリックします。
[証明機関(ローカル)]‐[XXX（証明書名）]‐[失効した証明書]を右クリックして、[すべてのタスク]‐[公開]をクリックします。
公開するCRLの種類で[新しいCRL(N)]を選択し、[OK]をクリックします。※ [OK] をクリックした後、正常に CRL を更新して、CDP に公開できれば何も表示されません。特にエラーが表示されない状況であれば、正常に更新が成功したとみなして問題ありません。
[証明機関(ローカル)]‐[XXX(証明機関名)]‐[失効した証明書]を右クリックして、[プロパティ]をクリックします。
[CRLの表示]タブにて、CRLの有効開始日が手順4実施付近の時間になっていること(＝正常にCRL発行され、証明書が失効していること)を確認します。
ISEサーバー等、CRLを参照しているシステムでCRLのリフレッシュ(手動再取得)を実施します。参照しているシステムによって手順が異なる場合があります。特にセキュリティ上の重要な設定であるCRLのリフレッシュには慎重さが要求されるため、環境や製品のドキュメント、ベンダーのサポート情報を参照して、正確な手順を確認してください。