Windows Server に中間認証局の証明機関をセットアップする手順を紹介します。

事前準備

今回、中間認証局を構成するマシンとは別のマシンを準備して、ルートCAを構成します。ルートCAのセットアップ手順はこちらの記事を参照してください。
中間認証局をセットアップするWindows Serverのマシンに証明機関をインストールします。証明機関のインストール手順はこちらの記事を参照してください。

手順

証明機関の構成

サーバーマネージャーのウィンドウを表示します。左側のメニューの[AD CS]の項目をクリックします。


AD CSの画面が表示されます。上部の黄色い帯の[(サーバー名) で Active Directory 証明書サービス の構成が必要です]の右側の[その他..]リンクをクリックします。


[すべてのサーバー タスクの詳細と通知]ウィンドウが表示されます。[すべてのタスク]リストの[操作]列の"対象サーバーに Active Directory 証明書サービス の構成"のリンクをクリックします。


[AD CS の構成]ウィンドウが表示されます。[資格情報]ダイアログが表示されます。今回はデフォルトのままとします。[次へ]ボタンをクリックします。


[役割サービス]画面が表示されます。


[証明機関]のチェックボックスをクリックしてチェックを付けます。チェック後[次へ]ボタンをクリックします。


[セットアップの種類]画面が表示されます。今回は[スタンドアロン CA]のラジオボタンをクリックしてチェックを付けます。チェック後[次へ]ボタンをクリックします。


[CA の種類]画面が表示されます。今回は中間認証局をセットアップしますので、[下位 CA]のラジオボタンをクリックしてチェックを付けます。チェック後[次へ]ボタンをクリックします。


[秘密キー]画面が表示されます。今回は新規の認証局のセットアップのため、[新しい秘密キーを作成する]のラジオボタンをクリックしてチェックを付けます。チェック後[次へ]ボタンをクリックします。


[CA の暗号化]画面が表示されます。


[暗号化プロバイダーの選択]はデフォルトの "RSA#Microsoft Software Key Storage Proivider" を選択します。キー長もデフォルトの2048を利用します。[この CA から発行された証明書の署名に使用するハッシュアルゴリズムを選択]のリストでは"SHA256"をクリックして選択します。設定後[次へ]ボタンをクリックします。


[CA の名前]画面が表示されます。今回セットアップする中間認証局の名称を設定します。名称の設定ができたら[次へ]ボタンをクリックします。



[証明書の要求]画面が表示されます。デフォルトの[証明書の要求をターゲット コンピューター 上のファイルに保存する]を利用します。ラジオボタンにチェックがついていることと証明書要求ファイルのパスを確認して[次へ]ボタンをクリックします。


[CA データベース]の画面が表示されます。データベースとデータベースログの場所を指定します。今回はデフォルトの設定とします。設定後[次へ]ボタンをクリックします。


[確認]画面が表示されます。ウィンドウ右下の[構成]ボタンをクリックし、証明機関の設定を完了します。


[結果]画面が表示されます。下図のメッセージが表示されます。

証明機関の証明書の発行

先のセットアップ画面で確認した中間証明機関の証明書の証明書要求ファイルが出力されていることを確認します。この証明書要求ファイルを一つ上位の証明機関(認証局)に送付して証明書を発行します。今回の例ではこのファイルをルートCAに送付して証明書を発行します。ルートCAでの中間認証局の証明書発行手順はこちらの記事を参照してください。


別のマシンの上位の証明機関で証明書を発行します。発行した証明書の項目をダブルクリックします。


証明書のダイアログボックスが表示されます。


上部の[詳細]タブをクリックします。下図の画面が表示されます。ダイアログ下部の[ファイルにコピー]ボタンをクリックします。


[証明書のエクスポート ウィザード]のウィンドウが表示されます。[次へ]ボタンをクリックします。


[エクスポート ファイルの形式]ウィンドウが表示されます。


今回は証明機関用の証明書を発行するため、[Cryptographic Message Syntax Standard - PKCS #7 証明書 (.P7B)]のラジオボタンをクリックしてチェックを付けます。また、[証明のパスにある証明書を可能であればすべて含む]のチェックボックスをクリックしてチェックを付けます。設定後[次へ]ボタンをクリックします。


[エクスポートするファイル]画面が表示されます。証明書をエクスポートする保存先を設定します。設定後[次へ]ボタンをクリックします。


[証明書のエクスポート ウィザードの完了]画面が表示されます。[完了]ボタンをクリックします。


証明書がエクスポートされます。エクスポートが完了すると下図のメッセージダイアログが表示されます。[OK]ボタンをクリックしてダイアログを閉じます。


指定したパスに ".p7b" 形式の証明書がエクスポートできました。

証明機関の証明書のインストール

ルートCAで発行された証明書(p7b形式)を取得しました。


スタートメニューの[Windows 管理ツール]フォルダ内の[証明機関]をクリックし、証明機関のウィンドウ表示します。下図のウィンドウが表示されます。


左側のツリービューで証明機関のサーバーのノードをクリックして選択します。選択後右クリックします。下図のポップアップメニューが表示されます。[すべてのタスク]の[CA 証明書のインストール]の項目をクリックします。


[CA のインストールを完了するためにファイルを選択します]のファイルを開くダイアログが表示されます。上位CAから発行された、p7b形式の証明書ファイルを開きます。


下図の下記警告メッセージのダイアログが表示されます。今回はスタンドアロン CAとしてセットアップしているため、オンラインでの失効確認はできませんので、[OK]ボタンをクリックします。


証明書がインストールできました。

証明機関の起動

ツールバーのサービス開始ボタンをクリック、または、サーバーノードをクリックし右クリックして表示されるポップアップメニューの[すべてのタスク]の[サービスの開始]メニューをクリックします。証明書サービスの起動が始まります。


しかし、起動は失敗し下記のエラーメッセージが表示されます。


証明機関の起動時に失効サーバーを確認する動作のため、エラーが発生し起動できない状態になっています。今回はオフラインの認証局のため、証明機関の起動時に失効サーバーを確認しない動作にする必要があります。PowerShell を起動し下記のコマンドを実行します。


設定できた場合、下記のメッセージが表示されます。サービスの再起動が必要なため、マシンを再起動します。

>certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\iPentec-NEXT-CA\CRLFlags:

古い値:
  CRLFlags REG_DWORD = 2
    CRLF_DELETE_EXPIRED_CRLS -- 2

新しい値:
  CRLFlags REG_DWORD = a (10)
    CRLF_DELETE_EXPIRED_CRLS -- 2
    CRLF_REVCHECK_IGNORE_OFFLINE -- 8
CertUtil: -setreg コマンドは正常に完了しました。
変更を有効にするには、CertSvc サービスを再起動しなければなりません。
PS C:\Users\Administrator>

マシンの再起動後、[証明機関]のウィンドウを表示すると、証明機関が起動していることが確認できます。


以上で中間認証局の証明機関のセットアップは完了です。