CA 証明書の有効期限

  • Article

Windows Server の証明機関サーバーでは、既定で証明機関の証明書 (CA 証明書) の有効期限は 5 年となります。一方で、サーバー運用の都合上 CA 証明書の有効期限を変更したいといったご要望は少なからずある話であると思います。

そのような場合は、 CAPolicy.inf を編集することにより、任意に更新する証明書の期間を変更することができます。一例として、ルート CA 証明機関にて、 CA 証明書の期間を 10 年と設定して CA 証明書を更新する手順をご紹介いたします。

  1. メモ帳等のテキスト エディターに以下を記載します。テキスト エディターはアイコンを右クリックし、 [管理者として実行] を選択して開きます。新しい CA 証明書の有効期限は RenewalValidityPeriod に記載します。--- ここから 5 行 ---
    [Version]
    Signature= "$Windows NT$"
    [certsrv_server]
    RenewalValidityPeriod=Years
    RenewalValidityPeriodUnits=10
    --- ここまで 5 行 ---
  2. 上記で編集した内容を、 %SystemRoot%\CAPolicy.inf として保存します。
  3. [管理ツール] - [証明機関] を開きます。
  4. 証明機関管理コンソールの左のコンソール ツリーより CA 名を右クリックし、 [すべてのタスク] - [CA 証明書の書き換え] を選択します。
  5. 証明書サービスを停止するか聞かれますので、 [はい] をクリックします。
  6. 証明するキー (秘密鍵) を書き換えるか聞かれますので、 [いいえ] を選択し、 [OK] をクリックします。

この CAPolicy.inf ファイルは証明機関をインストールする際や、 CA 証明書を更新する際の設定を記載するファイルとなります。上記の CA 証明書の有効期間以外にもポリシー、 CDP、 AIA など様々な設定を変更可能です。

英文とはなりますが、以下の記事に紹介しておりますので、ご検討いただけますと幸いでございます。

なお、最後となりますが、ITを取り巻く環境は日々変化してきております。将来的にPKI基盤の運用に於いては、暗号化強度の変更の必要性などを考慮の上、適切なタイミングで見直しなどをご検討いただけますと幸いです。

2018/07/11 修正: CAPolicy.inf の内容に誤記がありましたので訂正しました。ご指摘いただきましてありがとうございます。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。