読者です 読者をやめる 読者になる 読者になる

sos の 作業メモ

プログラミングや英会話学習、マイルや旅行、日常生活など。最近はWebFormなASP.NETのお守りがお仕事です。

日々の生活にhappyをプラスする|ハピタス Gポイント

Active Directory 証明書サービスでオレオレ認証局を立ててみました

Windows Serverを触るのにもすっかり抵抗がなくなってきましたが、今回はCAにチャレンジしてみました。

Certification Authority の略で、httpsの通信とかで使うサーバ証明書を発行するものです

もちろんopensslでやった方がいろいろと小回りが効いて楽なのですが、 WindowsServerの機能として付属しているものなので、社内や家庭内のプライベートネットワークで使う分には これで十分かなと思います

自己署名証明書自体の使用はどうなんとかって話はややこしくなるので横に置いておきます

で、やることは簡単

Active Directory 証明書サービスの追加

サーバーマネージャーの機能の役割と追加から、 Active Directory 証明書サービスを追加

構成

エンターブライズCAにするのかスタンドアロンCAにするのか や、ルートCAなのか中間CAなのか、CAとしての証明書の有効期間といったものを初期構成します。

男らしく

の設定としました。

サーバ証明書の有効期間を変更するためにレジストリを編集

もうこれだけで CSR (証明書署名要求)を認証してちゃんとしたオレオレ証明書を発行可能な認証局になっているのですが、 このままだと発行された証明書の有効期間がデフォルトの1年になっちゃいますし、CRLも一週間の更新になっちゃいますので、

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\xxxxx\

  • ValidityPeriodUnits = 0xa (10年)
  • CRLPeriod = "Months"
  • CRLPeriodUnits = 0x77 (119ヶ月)

とかに設定して、証明書サービスを再起動すれば、10年近くメンテ不要になって楽チンですね。


ちょっと首をかしげるような仕様もありますが、Windowsだけでもサーバ運用ができるもんだなというのを改めて認識しました。

ActiveDirectory だとさらに便利みたいなので、時間を作ってちゃんと理解したいと思います。