証明機関の CA 証明書の書き換えについて

こんにちは。Windows プラットフォーム サポートの馬場です。 AD CS サービスで構築した CA サーバーの CA 証明書の更新の動作についてお問い合わせいただくことがございます。 そのため、今回はメッセージの意味と選択肢における動作の違いについて紹介いたします。   <目次> CA 証明書の書き換えについて CA 書き換え時のオプション 対処策後の動作     1 . CA 証明書の書き換えについて Windows OS で提供されている “Active Directory 証明機関サービス” で証明機関を構築すると、CA 証明書には有効期間が設定されます。 CA 証明書の有効期限を更新されたい場合は [証明機関] の管理コンソールより [CA 証明書の書き換え] から有効期限の延長を行うことができます。 また、CA 証明書を書き換えるシナリオとして、CA の証明書の有効期間を延長する以外に、CA 証明書のキーペアとなる秘密キーが漏洩する等、セキュリティ上の理由から行う場合もございます。 先ずは、CA 証明書の秘密キーが漏えいすることのリスクについてご説明をします。 秘密キーは、証明機関で発行する証明書に付与するデジタル署名に利用されます。 そのため、以下の図の通り、秘密キーが漏洩してしまうと悪意を持った第三者が証明書を偽造することができます。 証明書のデジタル署名の検証には信頼している CA 証明書が使用されますが、同じ秘密キーを用いて署名しているため、一般のユーザーは正規の証明書と偽造された証明書を見分けることができません。 そのため、偽造された証明書も正当な証明書として信頼してしまう恐れがあります。   偽造された証明書を使うと悪意を持った第三者は、社内ネットワークに不正に入りこんだり、不正な Web サーバーを構築して悪用することも可能です。…


Windows 10 version 1803 から version 1809 にアップグレードするとビルトイン Administrator が無効化される

Windows 10 version 1803 をご利用されている方で、version 1809 にアップグレードをご検討されている方がいらっしゃいましたら、意図せずビルトイン Administrator アカウントが無効化されてしまう問題が報告されていますので、ご注意いただけますようお願い申し上げます。   この問題は以下の条件がともに成り立つ時に、Windows 10 version 1803 から version 1809 にアップグレードすると発生することが分かっています。   // 本問題の発生条件 (以下の条件の両方ともに合致する場合に本事象が発生します) * ビルトイン Administrator アカウントが有効である。 * 他にも Administrators 権限を持っているローカルのアカウントが存在している。 つまり、AdministratorsグループにビルトインAdministrator 以外に、ローカル ユーザのアカウントが存在する場合のみ、この問題が発生します。     現在、Windows 10 version 1803 から version 1809 にアップグレードする時に、自動的に修正が適用され、本不具合の発生を回避できます。 2019 年 1月 22 日以降、Windows Updateを使用する場合1809にアップグレードする過程で本問題を修正する処理が行われるようになっており、事象は発生いたしません。 留意点といたしましては、この修正は、アップグレードの際のみ適用可能であり、通常の更新プログラムのように事前に Windows Update から適用することはできません。 SCCMやWSUSを利用して1809にアップグレードするお客様は事象が発生してしまい、事前予防の解決策はありません。 もし、事象が発生した場合は、事象発生後にその他の管理者ユーザーでログオンし、必要に応じてビルトインのAdministratorを有効化する必要があります。…