Freigeben über


証明機関の CA 証明書の書き換えについて

こんにちは。Windows プラットフォーム サポートの馬場です。
AD CS サービスで構築した CA サーバーの CA 証明書の更新の動作についてお問い合わせいただくことがございます。
そのため、今回はメッセージの意味と選択肢における動作の違いについて紹介いたします。

 

<目次>
  1. CA 証明書の書き換えについて
  2. CA 書き換え時のオプション
  3. 対処策後の動作

 

 

1 . CA 証明書の書き換えについて

Windows OS で提供されている "Active Directory 証明機関サービス" で証明機関を構築すると、CA 証明書には有効期間が設定されます。
CA 証明書の有効期限を更新されたい場合は [証明機関] の管理コンソールより [CA 証明書の書き換え] から有効期限の延長を行うことができます。
また、CA 証明書を書き換えるシナリオとして、CA の証明書の有効期間を延長する以外に、CA 証明書のキーペアとなる秘密キーが漏洩する等、セキュリティ上の理由から行う場合もございます。
先ずは、CA 証明書の秘密キーが漏えいすることのリスクについてご説明をします。
秘密キーは、証明機関で発行する証明書に付与するデジタル署名に利用されます。
そのため、以下の図の通り、秘密キーが漏洩してしまうと悪意を持った第三者が証明書を偽造することができます。
証明書のデジタル署名の検証には信頼している CA 証明書が使用されますが、同じ秘密キーを用いて署名しているため、一般のユーザーは正規の証明書と偽造された証明書を見分けることができません。
そのため、偽造された証明書も正当な証明書として信頼してしまう恐れがあります。

 

偽造された証明書を使うと悪意を持った第三者は、社内ネットワークに不正に入りこんだり、不正な Web サーバーを構築して悪用することも可能です。
そのため、秘密キーに何等かのセキュリティ被害を受けた場合は、一般的にはキーペアを再作成して CA 証明書を発行し、それまでに発行された証明書は失効させて、新しく再発行した証明書を配布する等の対処をとります。

 

2. CA 書き換え時のオプション

次に "Active Directory" で構築した証明機関にて、CA 証明書を更新する手順についてご説明します。
1) CA サーバーに管理者権限をもつユーザーでログオンします。
2) [管理ツール] より [証明機関] を開きます。
3) 証明機関の画面の左ペインより、[証明機関(ローカル)] - [<CA 名>] を右クリックして [すべてのタスク] -
   [CA 証明書の書き換え] をクリックします。
4) CA 証明書の書き換えの処理の間、Active Directory 証明書サービスが一時的に停止することを警告する
   メッセージが表示されたら、[はい] をクリックします。
5) CA 証明書の書き換えにあたり、以下のようなメッセージが表示されます。

 

 

このメッセージが CA 証明書の書き換えにあたって、CA 証明書に紐づくキーペアとして (公開キーと秘密キーのペア)の書き換えを行うかどうかを確認するためのメッセージとなります。
・[はい] を選択した場合: キーペアを新たに作成した上で CA 証明書を発行します。
・[いいえ] を選択した場合: 現行のキーペアのままで CA 証明書を発行します。
先の通り、現行のキーペアにセキュリティ上の懸念がある場合は、[はい] を選択してキーペアの書き換えを行います。
また、CA 証明書の有効期間を更新することが目的であれば、基本的には [いいえ] を選択して、現行のキーペアを使用したままで CA 証明書を発行します。
キーペアを変更すると新規の CA 証明書では、既存の発行済みの証明書の検証はできませんので、基本的には全ての証明書を発行しなおすことが前提となりますので、一般的にはキーペアの書き換えは行いません。
オプションを選択したら、[OK] をクリックして CA 証明書の書き換えを行います。

 

 

 

3. 対処策後の動作

先ほどの秘密キーが第三者に漏洩した場合の対処として、キーペアの書き換えを行った後の動作を確認します。
キーペアを書き換えた新しい CA 証明書を発行すると、それ以降は証明機関は証明書を新たに発行するとき、新しいキーペアの秘密キーでデジタル署名を行うようになります。
セキュリティの懸念がある旧 CA 証明書は信頼されない証明書として配布し、これまでに発行済みの証明書は全て失効して利用できないように構成します。
失効した各証明書を新たに再発行すると新たなキーペアの秘密キーで署名されるので、信頼できる CA 証明書として配布している新 CA 証明書で検証が成功します。
一方、旧 CA 証明書は "信頼できない証明書" として配布されておりますので、偽造された証明書の検証は失敗するようになります。