次の方法で共有

証明機関によって発行される証明書の有効期限を変更する

この記事では、証明機関 (CA) によって発行される証明書の有効期間を変更する方法について説明します。

元の KB 番号: 254632

まとめ

既定では、スタンドアロン証明機関 CA によって発行される証明書の有効期間は 1 年です。 1 年後、証明書の有効期限が切れ、使用に対して信頼されません。 中間 CA または発行元 CA によって発行される証明書の既定の有効期限をオーバーライドしなければならない場合があります。

レジストリで定義されている有効期間は、スタンドアロン CA と Enterprise CA によって発行されるすべての証明書に影響します。 Enterprise CA の場合、既定のレジストリ設定は 2 年です。 スタンドアロン CA の場合、既定のレジストリ設定は 1 年です。 スタンドアロン CA によって発行される証明書の場合、有効期間は、この記事で後述するレジストリ エントリによって決定されます。 この値は、CA によって発行されるすべての証明書に適用されます。

エンタープライズ CA によって発行された証明書の場合、有効期間は、証明書の作成に使用されるテンプレートで定義されます。 Windows 2000 および Windows Server 2003 Standard Edition では、これらのテンプレートの変更はサポートされていません。 Windows Server 2003 Enterprise Edition では、変更可能なバージョン 2 の証明書テンプレートがサポートされています。 テンプレートで定義されている有効期間は、Active Directory フォレスト内の任意のエンタープライズ CA によって発行されたすべての証明書に適用されます。 CA によって発行された証明書は、次の期間の最小期間有効です。

  • この記事で前述したレジストリの有効期間。

    これは、スタンドアロン CA と、エンタープライズ CA によって発行された下位 CA 証明書に適用されます。

  • テンプレートの有効期間。

これはエンタープライズ CA に適用されます。 Windows 2000 および Windows Server 2003 Standard Edition でサポートされているテンプレートは変更できません。 Windows Server Enterprise Edition (バージョン 2 テンプレート) でサポートされているテンプレートは、変更をサポートします。

Enterprise CA の場合、発行された証明書の有効期間は、次の最小値に設定されます。

  • CA のレジストリ有効期間 (例: ValidityPeriod == Years、 ValidityPeriodUnits == 1)
  • テンプレートの有効期間
  • CA の署名証明書の残りの有効期間
  • ポリシー モジュールの EditFlags レジストリ値でEDITF_ATTRIBUTEENDDATE ビットが有効になっている場合、要求属性 (ExpirationDate:Date または ValidityPeriod:Years\nValidityPeriodUnits:1) で指定された有効期間

Note

  • ExpirationDate:Date 構文は、Windows Server 2008 までサポートされていませんでした。
  • スタンドアロン CA の場合、テンプレートは処理されません。 そのため、テンプレートの有効期間は適用されません。

CA 証明書の有効期限

CA は、独自の CA 証明書よりも有効期間が長い証明書を発行できません。

Note

要求属性名は、要求に付随し、有効期間を指定する値文字列ペアで構成されます。 既定では、これはスタンドアロン CA のレジストリ設定によってのみ有効になります。

CA によって発行された証明書の有効期限を変更する

CA の有効期間の設定を変更するには、次の手順に従います。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 したがって、次の手順を注意深く実行してください。 保護のために、レジストリを変更する前に、バックアップします。 その後、問題が起こった場合は、レジストリを復元できます。 レジストリのバックアップと復元方法の詳細は、「Windows のレジストリのバックアップおよび復元の方法」を参照してください。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [ 開く ] ボックスに「 regedit」と入力し、[ OK] をクリック

  3. 次のレジストリ キーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. 右側のウィンドウで、 ValidityPeriod をダブルクリックします。

  5. [データの ] ボックスに次のいずれかを入力し、[ OK] をクリック

    • Months

  6. 右側のウィンドウで、 ValidityPeriodUnits をダブルクリックします。

  7. [ 値のデータ ボックスに目的の数値を入力し、[ OK] をクリック。 たとえば、「 2」と入力します。

  8. 証明書サービス サービスを停止し、再起動します。 そのためには次のようにします。

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

    2. [ 開く ] ボックスに「 cmd」と入力し、[ OK] をクリック

    3. コマンド プロンプトで、次の行を入力します。 各行の後に Enter キーを押します。

      net stop certsvc
net start certsvc

    4. 「exit」と入力してコマンド プロンプトを終了します。