Active Directory 証明書サービスでオレオレ認証局を立ててみました
Windows Serverを触るのにもすっかり抵抗がなくなってきましたが、今回はCAにチャレンジしてみました。
もちろんopensslでやった方がいろいろと小回りが効いて楽なのですが、 WindowsServerの機能として付属しているものなので、社内や家庭内のプライベートネットワークで使う分には これで十分かなと思います
自己署名証明書自体の使用はどうなんとかって話はややこしくなるので横に置いておきます
で、やることは簡単
Active Directory 証明書サービスの追加
サーバーマネージャーの機能の役割と追加から、 Active Directory 証明書サービスを追加
構成
エンターブライズCAにするのかスタンドアロンCAにするのか や、ルートCAなのか中間CAなのか、CAとしての証明書の有効期間といったものを初期構成します。
男らしく
の設定としました。
サーバ証明書の有効期間を変更するためにレジストリを編集
もうこれだけで CSR (証明書署名要求)を認証してちゃんとしたオレオレ証明書を発行可能な認証局になっているのですが、 このままだと発行された証明書の有効期間がデフォルトの1年になっちゃいますし、CRLも一週間の更新になっちゃいますので、
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\xxxxx\
- ValidityPeriodUnits = 0xa (10年)
- CRLPeriod = "Months"
- CRLPeriodUnits = 0x77 (119ヶ月)
とかに設定して、証明書サービスを再起動すれば、10年近くメンテ不要になって楽チンですね。
ちょっと首をかしげるような仕様もありますが、Windowsだけでもサーバ運用ができるもんだなというのを改めて認識しました。
ActiveDirectory だとさらに便利みたいなので、時間を作ってちゃんと理解したいと思います。