証明機関によって発行される証明書の有効期限を変更する

  • [アーティクル]

この記事では、証明機関 (CA) によって発行される証明書の有効期間を変更する方法について説明します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 254632

概要

既定では、スタンドアロン証明機関 CA によって発行される証明書の有効期間は 1 年間です。 1 年後、証明書の有効期限が切れ、使用が信頼されません。 中間または発行元 CA によって発行された証明書の既定の有効期限をオーバーライドする必要がある場合があります。

レジストリで定義されている有効期間は、スタンドアロン CA と Enterprise CA によって発行されるすべての証明書に影響します。 Enterprise CA の場合、既定のレジストリ設定は 2 年間です。 スタンドアロン CA の場合、既定のレジストリ設定は 1 年間です。 スタンドアロン CA によって発行される証明書の有効期間は、この記事で後述するレジストリ エントリによって決まります。 この値は、CA によって発行されるすべての証明書に適用されます。

Enterprise CA によって発行された証明書の場合、有効期間は証明書の作成に使用されるテンプレートで定義されます。 Windows 2000 および Windows Server 2003 Standard Edition では、これらのテンプレートの変更はサポートされていません。 Windows Server 2003 Enterprise Editionでは、変更できるバージョン 2 の証明書テンプレートがサポートされています。 テンプレートで定義されている有効期間は、Active Directory フォレスト内のエンタープライズ CA によって発行されたすべての証明書に適用されます。 CA によって発行された証明書は、次の期間の最小値に対して有効です。

  • この記事の前半で説明したレジストリの有効期間。

    これは、エンタープライズ CA によって発行されたスタンドアロン CA および下位 CA 証明書に適用されます。

  • テンプレートの有効期間。

これはエンタープライズ CA に適用されます。 Windows 2000 および Windows Server 2003 Standard Edition でサポートされているテンプレートは変更できません。 Windows Server Enterprise Editionでサポートされているテンプレート (バージョン 2 テンプレート) では、変更がサポートされます。

Enterprise CA の場合、発行された証明書の有効期間は、次のすべての最小値に設定されます。

  • CA のレジストリ有効期間 (例: ValidityPeriod == Years、 ValidityPeriodUnits == 1)
  • テンプレートの有効期間
  • CA の署名証明書の残りの有効期間
  • ポリシー モジュールの EditFlags レジストリ値でEDITF_ATTRIBUTEENDDATE ビットが有効になっている場合、要求属性で指定された有効期間 (ExpirationDate:Date または ValidityPeriod:Years\nValidityPeriodUnits:1)

注:

  • ExpirationDate:Date 構文は、Windows Server 2008 までサポートされていませんでした。
  • スタンドアロン CA の場合、テンプレートは処理されません。 そのため、テンプレートの有効期間は適用されません。

CA 証明書の有効期限

CA は、独自の CA 証明書よりも有効期間が長い証明書を発行できません。

注:

要求属性名は、要求に付随し、有効期間を指定する値の文字列ペアで構成されます。 既定では、これはスタンドアロン CA 上のレジストリ設定でのみ有効になります。

CA によって発行された証明書の有効期限を変更する

CA の有効期間の設定を変更するには、次の手順に従います。

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

  2. [ 開く ] ボックスに 「regedit」と入力し、[OK] をクリック します

  3. 見つけて、次のレジストリ キーをクリックします。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\<CAName>

  4. 右側のウィンドウで、 ValidityPeriod をダブルクリックします。

  5. [ 値データ ] ボックスに次のいずれかを入力し、[OK] をクリック します

    • 日数
    • 年数

  6. 右側のウィンドウで、 ValidityPeriodUnits をダブルクリックします。

  7. [ 値のデータ ] ボックスに、目的の数値を入力し、[OK] をクリック します。 たとえば、 2 と入力します。

  8. Certificate Services サービスを停止し、再起動します。 そのためには、次を実行します。

    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

    2. [名前] ボックスに「cmd」と入力し、[OK] をクリックします。

    3. コマンド プロンプトで、次の行を入力します。 各行の後に Enter キーを押します。

      net stop certsvc
net start certsvc

    4. コマンド プロンプトを終了するには、exit と入力します。