証明機関によって発行される証明書の有効期限を変更する

  • [アーティクル]

この記事では、証明機関 (CA) によって発行される証明書の有効期間を変更する方法について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 254632

概要

既定では、スタンドアロン証明機関 CA によって発行される証明書の有効期間は 1 年間です。 1 年後、証明書の有効期限が切れ、使用に対して信頼されません。 中間 CA または発行元 CA によって発行される証明書の既定の有効期限をオーバーライドする必要がある場合があります。

レジストリで定義されている有効期間は、スタンドアロン CA と Enterprise CA によって発行されるすべての証明書に影響します。 Enterprise CA の場合、既定のレジストリ設定は 2 年です。 スタンドアロン CA の場合、既定のレジストリ設定は 1 年です。 スタンドアロン CA によって発行される証明書の場合、有効期間は、この記事で後述するレジストリ エントリによって決定されます。 この値は、CA によって発行されたすべての証明書に適用されます。

Enterprise CA によって発行された証明書の場合、有効期間は、証明書の作成に使用されるテンプレートで定義されます。 Windows 2000 および Windows Server 2003 Standard Edition では、これらのテンプレートの変更はサポートされていません。 Windows Server 2003 Enterprise Editionでは、変更可能なバージョン 2 証明書テンプレートがサポートされています。 テンプレートで定義されている有効期間は、Active Directory フォレスト内の任意の Enterprise CA によって発行されたすべての証明書に適用されます。 CA によって発行された証明書は、次の期間の最小期間有効です。

  • この記事で前述したレジストリ有効期間。

    これは、エンタープライズ CA によって発行されたスタンドアロン CA 証明書と下位 CA 証明書に適用されます。

  • テンプレートの有効期間。

これは Enterprise CA に適用されます。 Windows 2000 および Windows Server 2003 Standard Edition でサポートされているテンプレートは変更できません。 Windows Server Enterprise Editionでサポートされているテンプレート (バージョン 2 テンプレート) では、変更がサポートされます。

Enterprise CA の場合、発行された証明書の有効期間は、次の最小値に設定されます。

  • CA のレジストリ有効期間 (たとえば、 ValidityPeriod == Years、 ValidityPeriodUnits == 1)
  • テンプレートの有効期間
  • CA の署名証明書の残りの有効期間
  • ポリシー モジュールの EditFlags レジストリ値でEDITF_ATTRIBUTEENDDATE ビットが有効になっている場合、要求属性 (ExpirationDate:Date または ValidityPeriod:Years\nValidityPeriodUnits:1) で指定された有効期間

注:

  • ExpirationDate:Date 構文は、Windows Server 2008 までサポートされていませんでした。
  • スタンドアロン CA の場合、テンプレートは処理されません。 したがって、テンプレートの有効期間は適用されません。

CA 証明書の有効期限

CA は、独自の CA 証明書よりも有効期間が長い証明書を発行できません。

注:

要求属性名は、要求に付随し、有効期間を指定する値文字列ペアで構成されます。 既定では、これはスタンドアロン CA のレジストリ設定によってのみ有効になります。

CA によって発行された証明書の有効期限を変更する

CA の有効期間の設定を変更するには、次の手順に従います。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [ 開く ] ボックスに「 regedit」と入力し、[OK] をクリック します

  3. 次のレジストリ キーを見つけてクリックします。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. 右側のウィンドウで、[ ValidityPeriod] をダブルクリックします。

  5. [ 値データ ] ボックスに次のいずれかを入力し、[OK] をクリック します

    • 日数
    • 年数

  6. 右側のウィンドウで、[ ValidityPeriodUnits] をダブルクリックします。

  7. [ 値データ ] ボックスに、目的の数値を入力し、[OK] をクリック します。 たとえば、「 2」と入力します。

  8. Certificate Services サービスを停止し、再起動します。 そのためには、次を実行します。

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

    2. [名前] ボックスに「cmd」と入力し、[OK] をクリックします。

    3. コマンド プロンプトで、次の行を入力します。 各行の後で Enter キーを押します。

      net stop certsvc
net start certsvc

    4. コマンド プロンプトを終了するには、「exit」と入力します。