Active Directory証明書サービスでセキュアな公開鍵基盤を構築する（2）：基礎から学ぶサーバーマネージャーの使い方（11）（1/3 ページ）

前回は「Active Directory証明書サービス（AD CS）」の設計について解説した。今回は、その設計を反映したAD CSの構築手法を解説する。

» 2015年09月18日 05時00分公開

「発行CA」は1台で2層構造のCAを構築する

　今回は、「Active Directory証明書サービス（Active Directory Certificate Services：AD CS）」で、ルートCA（Certification Authority：証明機関）と発行CAの2層構造のCAを構築する手順を解説する。本来なら、2層目に配置する「発行CA」は複数台用意することが望ましいが、今回は1台で構成する。

　ネットワーク上のユーザーやコンピューター、ネットワーク機器には最大有効期間「5年」の証明書を発行し、その証明書を発行するCA（証明機関）の有効期間は、発行CA「10年」、ルートCA「20年」に設定する（図1）。

図1　2層構造のCA構築例。発行CAの有効期間は「10年」、ルートCAの有効期間は「20年」に設定する

　また、ルートCAは「オフラインルートCA」として運用するので、証明書の有効性を確認するための「公開ポイント」としてWebサーバーに発行CAを設定する。

「スタンドアロンCA」でルートCAを構築する

　CAの階層構造が決定したら、AD CSのインストール作業を行う。前回説明したように、AD CSのインストール形態には「スタンドアロンCA」と「エンタープライズCA」の二つがあるが、今回はスタンドアロンCAとして導入する。スタンドアロンCAを構成するには、ワークグループ構成のサーバーで「サーバーマネージャー」を起動し、「役割と機能の追加」から「Active Directory証明書サービス」をインストールする。

　インストールが完了したら「対象サーバーにActive Directory 証明書サービスを構成する」をクリックして、「AD CSの構成」ウィザードを起動する。「AD CSの構成」ウィザードでは、以下の表1の内容で設定を進める（画面1）。


	ウィザードの画面	設定内容
1	資格情報	既存のローカル管理者アカウントが記入されていることを確認する
2	役割サービス	「証明機関」にチェックを入れる
3	セットアップの種類	「スタンドアロンCA」にチェックが入っていることを確認する
4	CAの種類	「ルートCA」にチェックが入っていることを確認する
5	秘密キー	「新しい秘密キーを作成する」にチェックが入っていることを確認する
6	暗号化	キー長を「4096」に変更する
7	CA名	CAの共通名を「RootCA」に変更する
8	有効期間	20年に変更する
9	証明書データベース	既定の設定のまま
表1　「AD CSの構成」ウィザードで設定する内容

画面1　AD CSのインストールが完了したら、「AD CSの構成」ウィザードで設定を進める。「有効期間」画面では、証明書の有効期間を「20年」に設定する

レジストリを編集してCAの有効期間を変更する

　スタンドアロンCAを「AD CSの構成」ウィザードで設定した際、有効期間は「20年」に設定した。実は、このままでは実際に発行される証明書の有効期間は「1年」になってしまう。その理由は、スタンドアロンCAおよびエンタープライズCAの有効期間は「レジストリ」で設定されているからだ。スタンドアロンCAが「1年」、エンタープライズCAが「2年」の有効期間がレジストリで設定されているため、これを変更する必要がある。

　レジストリを変更せずにルートCA（スタンドアロンCA）と発行CA（エンタープライズCA）の2階層を構成した場合は、エンタープライズCAで発行される証明書の有効期間は最長「1年」になる。発行CAはルートCAから証明書を取得するが、その証明書の有効期間は「1年」になっているはずだ。発行CAもまた証明書を発行するが、自分自身が持つ証明書の有効期間を超える証明書は発行できないため、「証明書テンプレート」で期間を設定しても「1年」以上は割り当てることができないのである。

　CAの証明書が発行する、発行CAの証明書の有効期限を「10年」に変更するには、以下のレジストリキーにある「ValidityPeriodUnits」の値を「10」に設定する（画面2）。