JBS Tech Blog

【Active Directory Certificate Services】証明書の有効期間

Active Directory Certificate Services ADCS 証明書

Active Directory Certificate Services（AD CS）を構築し、証明書テンプレートにて有効期間を5年に設定したにもかかわらず、クライアントに配布した証明書の有効期間が5年より短い期間になっていたという事を経験しました。

このようなことが再発しないように、今回、証明書の有効期間を設定する上で必要となる設定項目をご紹介したいと思います。

証明書有効期間の仕組み
CAのレジストリについて
証明書の有効期間設定手順
- CAのレジストリ設定
- 証明書テンプレートの有効期間設定
おわりに

証明書有効期間の仕組み

クライアントに配布される証明書の有効期間は以下の3つの設定の内、最も短い期間に設定されます。

【証明書の有効期間を決める設定】

証明機関 (Certificate Authority, CA)」の有効期間（ルート証明書の有効期間）
CAのレジストリ有効期間（ValidityPeriod == Years、 ValidityPeriodUnits == 2 ※規定値）
証明書テンプレートの有効期間

例えば、下図のように各有効期間が設定されている場合、クライアントに配布される証明書の有効期間は最も設定値が短い「2. CAのレジストリ有効期間」の2年に設定されます。

証明書有効期間概要図01

そのため、クライアントに配布する証明書の有効期間を5年に設定したい場合は、証明書テンプレートに設定する有効期間とは別に、CAのレジストリ値についても5年以上に設定する必要があります。

尚、下図のようにクライアントに証明書が発行された時点で「2. CAのレジストリ有効期間」および「3. 証明書テンプレートの有効期間」が「1. 証明機関の有効期間」を超えている場合、クライアントに発行された証明書の有効期間終了日は「証明機関の有効期間の終了日」に設定されます。

証明書有効期間概要図02

CAのレジストリについて

上記で記載したCAのレジストリは、証明機関が発行する証明書の有効期間上限値を設定するレジストリであり、AD CSサーバーにて設定を行います。

レジストリの詳細について、以下に記載します。

【有効期間の単位】

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\＜CAName＞

値：ValidityPeriod
値の種類：REG_SZ
値データ：Years（規定値）

※値データとしては「Years／Months／Weeks／Days」を設定可能です。

【有効期間の値】

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\＜CAName＞

値：ValidityPeriodUnits
値の種類：REG_DWORD
値データ：2（規定値）

※規定値では2年に設定されています。

証明書の有効期間設定手順

実際に証明書の有効期間を5年に設定する手順を紹介したいと思います。

CAのレジストリ設定

1. 「ファイル名を指定して実行」を起動し、「regedit」と入力、「OK」ボタンを押下します。

CAレジストリ設定手順画像01

2. レジストリエディターにて、下記レジストリキーを表示します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\＜CAName＞

CAレジストリ設定手順画像02

3. 「ValidityPeriod」が「Years」に設定されていることを確認します。

CAレジストリ設定手順画像03

4. 「ValidityPeriodUnits」をダブルクリックし、値データを「5」に設定します。

CAレジストリ設定手順画像04

CAレジストリ設定手順画像05

CAレジストリ設定手順画像06

5. コマンドプロンプトを起動し、下記コマンドを順に実行して、Active Directory Certificate Servicesを再起動します。

【コマンド】

＞net stop certsvc
＞net start certsvc

CAレジストリ設定手順画像07

証明書テンプレートの有効期間設定

1. 証明書機関を起動し、「証明書テンプレート」を右クリック、「管理」を選択します。

証明書テンプレート有効期限設定手順画像01

2. 証明書テンプレートコンソールにて、証明書のベースとする証明書テンプレートを右クリックし、「テンプレートの複製」を選択します。

証明書テンプレート有効期限設定手順画像02

3. テンプレートのプロパティ「全般」タブにて、「有効期限」を5年に設定し、「OK」を選択します。

※今回は有効期限の設定のみ行っております。

証明書テンプレート有効期限設定手順画像02

証明書テンプレート有効期限設定手順画像03

4. 証明機関にて、「証明書テンプレート」を右クリックし、「新規作成」>「発行する証明書テンプレート」を選択します。

5. 証明書テンプレートの選択にて、先ほど作成した証明書テンプレートを選択し、「OK」をクリックします。

証明書テンプレート有効期限設定手順画像04

証明書テンプレート有効期限設定手順画像05

以上にて証明書の有効期限設定については完了です。

本記事を記載するにあたり作成した上記の証明書テンプレートをクライアントで取得し（2024/03/07実施）、有効期限が5年後（2029/03/06）に設定されていることも確認できました。

証明書テンプレート有効期限設定手順画像06

おわりに

今回、私自身が初めてADCSを構築した際に、困った事象の一つとして証明書の有効期間について紹介させて頂きました。

証明書の有効期限を設定する際には証明書テンプレートに設定する有効期間だけでなく、証明機関の有効期間や CAのレジストリ有効期間についても考慮する必要があります。

同様の事象でお困りの方のお役に立てれば幸いです。

Big Smile, Big Future エンジニア積極採用中　募集要項はこちら！

About

JBS Tech Blogは、日本ビジネスシステムズ（JBS）の社員が分担して執筆を担当し、技術情報を発信しているブログです！

RSSで購読する

APIを利用してMicrosoft Cost Managementのサブスクリプション一覧を取得する方法 -第一部-
APIを利用してCost Managementのサブスクリプションの一覧を取得する方法についてま…
Excelで行や列を非表示にしていた場合のPower Automateへの影響
Excelを使ったPower Automateを利用する際、Excelで行や列を非表示にした時にフロー…
効率化を目指すExcelドキュメントの自動成型
Power Automate Desktop を使用したExcel操作を紹介します。
【Microsoft Lists】参照列の使い方
Microsoft Listsでは、参照列を使用して複数のListsを組み合わせたテーブル構成がで…
Azure OpenAI Studio でリスクと安全性の監視
3月に発表された新機能でAzure OpenAI Studioでリスクと安全性の監視という機能が追…
AWS Systems Manager インベントリの概要
AWSのSystems Manager インベントリの概要と設定方法について紹介します。
syslog ログローテーション設定 ( maxage設定 )
syslogを利用する際は、肥大化するログをどのタイミングでローテーションし、どれく…

もっと見る

カテゴリー

月別アーカイブ