証明機関 (CA) を移行すると、組織の証明書サービスの継続性が確保されます。 このガイドでは、CA を正常に移行するための手順とベスト プラクティスについて説明します。 CA データベースと秘密キーのバックアップ、ソース サーバーからの CA ロール サービスの削除、移行先サーバーでの CA の復元などの重要なタスクについて説明します。 証明機関スナップイン、Windows PowerShell、または Certutil などのコマンド ライン ツールのどちらを使用している場合でも、このガイドでは、さまざまな移行シナリオに合わせた詳細な手順を提供します。 スムーズで安全な移行プロセスを確保するには、次の手順に従います。
Prerequisites
証明機関 (CA) を移行する前に、次の前提条件が満たされていることを確認します。
必要なもの:
- 移行元サーバーと移行先サーバーの両方の管理アクセス。 エンタープライズ CA の場合は、Enterprise Admins または Domain Admins グループのメンバーであることを確認します。
- バックアップと復元を実行するための証明機関スナップイン、PowerShell、Certutil などのツールへのアクセス。
- バックアップ ファイルを格納するための安全でアクセス可能な場所。 場所が未承認のアクセスから保護されていることを確認します。
- 移行元サーバーと移行先サーバー間のネットワーク接続。
- フェールオーバー クラスタリングの場合:
- 構成され、アクセス可能な共有ストレージ。
- 適切に設定され、アクセス許可が付与されているクラスター ノード。
これらの前提条件を満たすと、証明機関のスムーズで安全な移行を確保できます。
Perform backups
CA の移行を開始する前に、まず次の内容をバックアップします。
- CA database
- Private key(s)
- CA レジストリの設定
- CAPolicy.inf file
- CA テンプレートの一覧 (エンタープライズ CA にのみ必要)
CA ロールの削除に進む前に、有効期間が延長された CRL も公開する必要があります。
CA データベースと秘密キーをバックアップする
証明機関スナップイン、PowerShell、または Certutil を使用して、CA データベースと秘密キーをバックアップできます。 ソース CA にログオンしているときに、このセクションで説明するバックアップ手順のいずれかを完了します。
CA 管理者であるアカウントを使用する必要があります。 エンタープライズ CA では、CA 管理者の既定の構成には、ローカルの Administrators グループ、Enterprise Admins グループ、Domain Admins グループが含まれます。 スタンドアロン CA では、CA 管理者の既定の構成にはローカルの Administrators グループが含まれます。
Note
ハードウェア セキュリティ モジュール (HSM) が CA によって使用されている場合は、HSM ベンダーが提供する手順に従って秘密キーをバックアップします。
バックアップ手順を完了した後、Active Directory Certificate Services サービス (Certsvc) を停止して、より多くの証明書の発行を防ぐ必要があります。 CA 役割サービスを宛先サーバーに追加する前に、CA 役割サービスをソース サーバーから削除する必要があります。
移行を簡略化するには、これらの手順で作成したバックアップ ファイルを同じ場所に格納する必要があります。 この場所には、移行先サーバーからアクセスできる必要があります。
次の手順では、サーバー マネージャーで開始し、証明機関スナップインを使用して、CA データベースと秘密キーをバックアップする方法について説明します。
バックアップの場所を選択し、必要に応じてメディアをアタッチします。
ソース CA にログオンします。
From Server Manager, select Tools, then Certification Authority to open the snap-in.
Right-click the node with the CA name, point to All Tasks, and then select Back Up CA.
On the Welcome page of the CA Backup wizard, select Next.
[バックアップする項目] ページで、秘密キーと CA 証明書と証明書データベースと証明書データベースログのチェック ボックスをオンにし、バックアップの場所を指定して、[次へ] を選択します。
[ パスワードの選択 ] ページで、CA 秘密キーを保護するパスワードを入力し、[ 次へ] を選択します。
[ バックアップ ウィザードの完了 ] ページで、[完了] を選択 します。
バックアップが完了したら、指定した場所にある次のファイルを確認します。
CAName.p12 containing the CA certificate and private key
Database folder containing files certbkxp.dat, edb#####.log, and CAName.edb
コマンド プロンプト ウィンドウを開き、「 net stop certsvc 」と入力して Active Directory 証明書サービス サービスを停止します。
すべてのバックアップ ファイルを、移行先サーバーからアクセスできる場所にコピーします。たとえば、ネットワーク共有やリムーバブル メディアなどです。
CA レジストリ設定をバックアップする
CA レジストリ設定をバックアップするには、次のいずれかの手順を実行します。
バックアップ手順中に作成されたファイルは、移行を簡略化するために、データベースおよび秘密キーのバックアップ ファイルと同じ場所に格納する必要があります。 場所は、移行先サーバーからアクセスできる必要があります。たとえば、リムーバブル メディア、移行先サーバー上の共有フォルダー、または別のドメイン メンバーなどです。
ローカルの Administrators グループのメンバーであるアカウントを使用して、ソース CA にログオンする必要があります。
Regedit.exe を使用して CA レジストリ設定をバックアップする
Select Start, point to Run, and type regedit to open the Registry Editor.
In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc, right-click Configuration, and then select Export.
Specify a location and file name, and then select Save. これにより、ソース CA からの CA 構成データを含むレジストリ ファイルが作成されます。
宛先サーバーからアクセスできる場所にレジストリ ファイルをコピーします。たとえば、共有フォルダーやリムーバブル メディアなどです。
Reg.exe を使用して CA レジストリ設定をバックアップする
コマンドプロンプトウィンドウを開く。
「reg export HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration<出力ファイル>.reg」と入力し、Enter キーを押します。
宛先サーバーからアクセスできる場所にレジストリ ファイルをコピーします。たとえば、共有フォルダーやリムーバブル メディアなどです。
CAPolicy.inf のバックアップ
ソース CA がカスタム CAPolicy.inf ファイルを使用している場合は、ソース CA バックアップ ファイルと同じ場所にファイルをコピーする必要があります。
The CAPolicy.inf file is located in the %SystemRoot% directory, which is usually C:\Windows.
CA テンプレートの一覧をバックアップする
エンタープライズ CA には、証明書テンプレートを割り当てることができます。 CA 移行を開始する前に、割り当てられた証明書テンプレートを記録する必要があります。 この情報は、CA データベースまたはレジストリ設定のバックアップではバックアップされません。 これは、証明書テンプレートとそのエンタープライズ CA との関連付けが AD DS に格納されるためです。 CA の移行を完了するには、移行先サーバーに同じテンプレートの一覧を追加する必要があります。
Note
ソース CA に割り当てられた証明書テンプレートは、この手順の完了後に変更されていないことが重要です。
You can determine the certificate templates assigned to a CA by using the Certification Authority snap-in or the Certutil.exe –catemplates command.
証明機関スナップインを使用して CA テンプレートの一覧を記録する
ローカルの管理者資格情報を使用して CA コンピューターにログオンします。
証明機関スナップインを開きます。
In the console tree, expand Certification Authority, and select Certificate Templates.
スクリーンショットを作成するか、リストをテキスト ファイルに入力して、証明書テンプレートの一覧を記録します。
Certutil.exe を使用して CA テンプレートの一覧を記録する
ローカルの管理者資格情報を使用して CA コンピューターにログオンします。
コマンドプロンプトウィンドウを開く。
次のコマンドを入力し、Enter キーを押します。
certutil.exe –catemplates > catemplates.txtcatemplates.txt ファイルにテンプレートの一覧が含まれていることを確認します。
Note
CA に証明書テンプレートが割り当てられていない場合、ファイルにはエラー メッセージ 0x80070490 (要素が見つかりません) が含まれます。
有効期間が延長された CRL を発行する
CA の移行を開始する前に、計画された移行期間を超える有効期間の CRL を発行することをお勧めします。 CRL の有効期間は、少なくとも移行のために計画されている時間の長さである必要があります。 これは、移行期間中にクライアント コンピューター上の証明書検証プロセスを続行できるようにするために必要です。
移行する CA ごとに有効期間が延長された CRL を発行する必要があります。 この手順は、CRL の使用不能の影響を受ける可能性のある証明書が多数存在する可能性があるため、ルート CA にとって特に重要です。
既定では、CRL の有効期間は CRL 発行期間に 10% を加えたものになります。 適切な CRL の有効期間を決定したら、CRL 発行間隔を設定し、次の手順を実行して CRL を手動で発行します。 証明書失効リストの公開をスケジュールし、 証明書失効リストを手動で発行します。
Important
CRL 公開期間を変更する前に、その値を記録します。 移行が完了したら、CRL 発行期間を以前の値にリセットする必要があります。 クライアント コンピューターは、ローカルにキャッシュされた CRL の有効期間が経過した後にのみ、新しい CRL をダウンロードします。 そのため、CRL の有効期間が長すぎる場合は使用しないでください。
ソース サーバーから CA 役割サービスを削除する
バックアップ手順を完了した後、移行先サーバーに CA 役割サービスをインストールする前に、ソース サーバーから CA 役割サービスを削除することが重要です。 ドメイン メンバーであるエンタープライズ CA とスタンドアロン CA は、CA の共通名に関連付けられている Active Directory Domain Services (AD DS) 構成データに格納されます。 CA ロール サービスを削除すると、AD DS から CA 構成データも削除されます。 移行元 CA と移行先 CA は同じ共通名を共有するため、移行先サーバーに CA 役割サービスをインストールした後にソース サーバーから CA 役割サービスを削除すると、移行先 CA に必要な構成データが削除され、その操作が妨げられます。
CA データベース、秘密キー、証明書は、CA ロール サービスを削除することによってソース サーバーから削除されません。 そのため、移行が失敗し、ロールバックを実行する必要がある場合は、ソース サーバーに CA ロール サービスを再インストールすると、ソース CA が復元されます。
Warning
推奨されませんが、一部の管理者は、移行が失敗した場合にソース CA を迅速にオンラインにできるように、ソース サーバーに CA 役割サービスをインストールしたままにすることを選択できます。 移行先サーバーに CA 役割サービスをインストールする前に、ソース サーバーから CA 役割サービスを削除しないことを選択した場合は、移行先サーバーに CA 役割サービスをインストールする前に、Active Directory 証明書サービス サービス (Certsvc) を無効にし、ソース サーバーをシャットダウンすることが重要です。 移行先サーバーへの移行が完了した後は、ソース サーバーから CA 役割サービスを削除しないでください。
CA 役割サービスを削除するには、サーバー マネージャーの 役割と機能の削除 ウィザードを使用します。
- From Server Manager, select Manage, then Remove Roles and Features.
- Select Next in the wizard until you come to Server Roles.
- [サーバーの役割] の [Active Directory 証明書サービス] で、[証明機関] のチェック ボックスをオフにします。
- 証明機関を必要とする機能も削除することを確認します。
- Select Next until you come to the Confirmation page. Then select Remove.
- ロールが正常に削除されたことを確認します。
ドメインからソース サーバーを削除する
コンピューター名は Active Directory ドメイン内で一意である必要があるため、移行元サーバーをドメインに参加させる前に、そのドメインからソース サーバーを削除し、関連付けられているコンピューター アカウントを Active Directory から削除する必要があります。
ドメインからソース サーバーを削除するには、次の手順を実行します。
PowerShell を使用してドメインからソース サーバーを削除する
Use the Windows PowerShell cmdlet Remove-ADComputer to remove the computer account from AD DS.
Active Directory から特定のコンピューターを削除するには、次のコマンドを使用します。
Remove-ADComputer -Identity "COMPUTER_IDENTITY"
-Identity パラメーターは、識別名、GA GUID (objectGUID)、セキュリティ識別子 (objectSid)、または Security Accounts Manager アカウント名 (sAMAccountName) のいずれかのプロパティ値を指定することで、Active Directory コンピューター オブジェクトを指定するために使用されます。
移行先サーバーをドメインに参加させる
移行先サーバーをドメインに参加させる前に、コンピューター名をソース サーバーと同じ名前に変更します。 次に、移行先サーバーをドメインに参加させる手順を完了します。
移行先サーバーが Server Core インストール オプションで実行されている場合は、コマンド ライン 手順を使用する必要があります。
移行先サーバーの名前を変更するには、ローカルの Administrators グループのメンバーである必要があります。 サーバーをドメインに参加させるには、Domain Admins グループまたは Enterprise Admins グループのメンバーであるか、ドメイン内の組織単位 (OU) に移行先サーバーを参加させる委任されたアクセス許可を持っている必要があります。
Important
ドメイン メンバーではないスタンドアロン CA を移行する場合は、移行先サーバーの名前を変更する手順のみを実行し、移行先サーバーをドメインに参加させないでください。
PowerShell を使用して移行先サーバーをドメインに参加させる
移行先サーバーで、管理者特権の PowerShell ウィンドウを開きます。
Use the cmdlet Rename-Computer by typing:
Rename-Computer -NewName "NEW_COMPUTER_NAME" -DomainCredential Domain01\Admin01 -Restart移行先サーバーが再起動したら、コンピューターをドメインに参加させるアクセス許可を持つアカウントを使用してログオンします。
Open an elevated PowerShell window, and use the cmdlet Add-Computer to add a computer to a domain.
Add-Computer -DomainName Domain01 -Restart
CA ロール サービスを移行先サーバーに追加する
このセクションでは、フェールオーバー クラスタリングを使用するための特別な手順など、CA 役割サービスを宛先サーバーに追加するための 2 つの異なる手順について説明します。
次のステートメントを確認して、完了する手順を決定します。
If your destination server is running the Server Core installation option, you can use Windows PowerShell to install the CA using the cmdlet Install-AdcsCertificationAuthority.
HSM を使用する CA に移行する場合は、「 CA 証明書をインポートして CAロール サービスを追加する」の手順を完了します。
フェールオーバー クラスタリングを使用する CA に移行する場合は、各クラスター ノードで CA 証明書をインポート し、 CA ロール サービスを追加 する手順を完了する必要があります。 CA ロール サービスが各ノードに追加されたら、Active Directory Certificate Services サービス (Certsvc) を停止します。 また、次の点も確認します。
- CA によって使用される共有ストレージはオンラインであり、CA ロール サービスを追加するノードに割り当てられます。
- CA データベースとログ ファイルは、共有ストレージ上に存在する必要があります。
CA 証明書をインポートする
サーバー マネージャーを使用して CA ロール サービスを追加する場合は、次の手順を実行して CA 証明書をインポートします。
CA 証明書をインポートする
ローカル コンピューター アカウントの証明書スナップインを起動します。
コンソール ツリーで[ 証明書 (ローカル コンピューター)]をダブルクリックし、[ 個人用] を選択します。
On the Action menu, select All Tasks, and then select Import... to open the Certificate Import Wizard. Select Next.
ソース CA の CA 証明書と秘密キー バックアップによって作成された <CAName>.p12 ファイルを見つけて、[ 開く] を選択します。
Type the password, and select OK.
[ すべての証明書を次のストアに配置する] を選択します。
Verify Personal is displayed in Certificate store. If it isn't, select Browse, select Personal, select OK.
Note
ネットワーク HSM を使用している場合は、手順 8 から 10 を実行して、インポートされた CA 証明書と HSM に格納されている秘密キーとの関連付けを修復します。 それ以外の場合は、[完了] を選択してウィザードを完了し、[OK] を選択して証明書が正常にインポートされたことを確認します。
In the console tree, double-click Personal Certificates, and select the imported CA certificate.
On the Action menu, select Open. Select the Details tab, copy the serial number to the Clipboard, and then select OK.
コマンド プロンプト ウィンドウを開き、「 certutil –repairstore My"{Serialnumber}」と 入力し、Enter キーを押します。
CA ロール サービスを追加する
移行先サーバーがドメイン メンバーの場合、インストール ウィザードが AD DS 内のオブジェクトにアクセスするには、Domain Admins または Enterprise Admins グループのメンバーであるアカウントを使用する必要があります。 サーバー マネージャーまたは PowerShell を使用して、CA 役割サービスを追加します。
Important
ソース CA からバックアップ CAPolicy.inf ファイルを作成した場合は、設定を確認し、必要に応じて調整します。 CA ロール サービスを追加する前に、CAPolicy.inf ファイルを宛先 CA の %windir% フォルダー (既定では C:\Windows) にコピーします。
サーバー マネージャーを使用して CA 役割サービスを追加するには、次の手順に従います。
移行先サーバーにログオンし、サーバー マネージャーを起動します。
In the console tree, select Roles.
On the Action menu, select Add Roles.
[ 開始する前 に] ページが表示されたら、[ 次へ] を選択します。
[ サーバーの役割の選択 ] ページで、[ Active Directory 証明書サービス ] チェック ボックスをオンにし、[ 次へ] を選択します。
[ AD CS の概要 ] ページで、[ 次へ] を選択します。
On the Role Services page, select the Certification Authority check box, and select Next.
Note
移行先サーバーに他の役割サービスをインストールする場合は、最初に CA のインストールを完了してから、他の役割サービスを個別にインストールする必要があります。 他の AD CS 役割サービスのインストール手順については、このガイドでは説明しません。
[ セットアップの種類の指定 ] ページで、ソース CA と一致するように [エンタープライズ ] または [スタンドアロン] を指定し、[ 次へ] を選択します。
[ CA の種類の指定 ] ページで、ソース CA と一致するように ルート CA または 下位 CA を指定し、[ 次へ] を選択します。
[ 秘密キーの設定 ] ページで、[ 既存の秘密キーを使用 する] を選択し、 証明書を選択し、関連付けられている秘密キーを使用します。
Note
HSM が CA によって使用されている場合は、HSM ベンダーが提供する手順に従って秘密キーを選択します。
In the Certificates list, select the imported CA certificate, and then select Next.
On the CA Database page, specify the locations for the CA database and log files.
On the Confirmation page, review the messages, and then select Configure.
フェールオーバー クラスターに移行する場合は、CA で HSM が使用されている場合は、Active Directory Certificate Services サービス (Certsvc) と HSM サービスを停止します。 次に、手順を繰り返して CA 証明書をインポートし、他のクラスター ノードに CA ロール サービスを追加します。
If you'd like to install the CA role service using PowerShell, use the Install-AdcsCertificationAuthority cmdlet.
CA を復元する
次に、CA の復元を開始します。 必要に応じて、CA データベース、CA レジストリ設定、証明書テンプレートの一覧を復元します。
移行先サーバーで CA データベースと構成を復元する
このセクションの手順は、CA 役割サービスが移行先サーバーにインストールされた後にのみ完了する必要があります。
フェールオーバー クラスターに移行する場合は、CA データベースを復元する前にすべてのクラスター ノードに CA ロール サービスを追加します。 CA データベースは、1 つのクラスター ノードでのみ復元する必要があり、共有ストレージ上に配置する必要があります。
ソース CA バックアップの復元には、次のタスクが含まれます。
- 移行先サーバーでソース CA データベースを復元する
- 移行先サーバーでソース CA レジストリ設定を復元する
- 宛先 CA の証明書拡張機能を確認する
- 証明書テンプレートの一覧を復元する (エンタープライズ CA にのみ必要)
移行先サーバーでソース CA データベースを復元する
このセクションでは、証明機関スナップイン、PowerShell、または Certutil を使用して、移行先サーバーでソース CA データベースのバックアップを復元するさまざまな手順について説明します。
Server Core のインストールに移行する場合は、Certutil PowerShell を使用する必要があります。 証明機関スナップインとサーバー マネージャーを使用して、Server Core インストールで実行されている CA をリモートで管理できます。 ただし、Windows PowerShell を使用してリモートで CA データベースを復元することしかできません。
フェールオーバー クラスターに移行する場合は、共有ストレージがオンラインであることを確認し、1 つのクラスター ノードでのみ CA データベースを復元します。
CA データベースを復元するには、サーバー マネージャーから開始し、証明機関スナップインを使用して次の手順を実行します。
CA 管理者であるアカウントを使用して、移行先サーバーにログオンします。
証明機関スナップインを開始します。
Right-click the node with the CA name, point to All Tasks, and then select Restore CA.
On the Welcome page, select Next.
[ 復元する項目] ページで、[ 証明書データベースと証明書データベース ログ] を選択します。
Select Browse. Navigate to the parent folder that holds the Database folder (the folder that contains the CA database files created during the CA database backup).
Warning
データベース フォルダーを選択しないでください。 その親フォルダーを選択します。
Select Next and then select Finish.
Select Yes to start the CA service (certsvc).
移行先サーバーでソース CA レジストリ設定を復元する
The CA configuration information is stored in the registry in: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc
ソース CA からターゲット CA にレジストリ設定をインポートする前に、既定のターゲット CA レジストリ構成のバックアップを作成してください。 混乱を避けるために、必ずターゲット CA で次の手順を実行し、レジストリ ファイルに "DefaultRegCfgBackup.reg" などの名前を付けてください。
Important
一部のレジストリ パラメーターは、ソース CA コンピューターから変更せずに移行する必要があり、一部は移行しないでください。 移行される場合は、移行後にターゲット システムで更新する必要があります。一部の値は CA 自体に関連付けられているのに対し、他の値はドメイン環境、物理ホスト、Windows バージョン、またはターゲット システムで異なる可能性があるその他の要因に関連付けられているためです。
レジストリ構成のインポートを実行するための推奨される方法は、まず、ソース CA からエクスポートしたレジストリ ファイルをテキスト エディターで開き、変更または削除が必要な設定を分析することです。
レジストリ ファイルを分析する
ソース CA から設定をエクスポートして作成した.reg テキスト ファイルを右クリックします。
Select Edit to open the file in a text editor.
ターゲット CA のコンピューター名がソース CA のコンピューター名と異なる場合は、ソース CA コンピューターのホスト名をファイルで検索します。 見つかったホスト名のインスタンスごとに、それがターゲット環境に適した値であることを確認します。 必要に応じて、ホスト名を変更します。 Update the CAServerName value.
ローカル ファイル パスを示すレジストリ値を調べて、ドライブ文字の名前とパスがターゲット CA に対して正しいことを確認します。 ソース CA とターゲット CA の間に不一致がある場合は、ファイル内の値を更新するか、ファイルから削除して、既定の設定がターゲット CA に保持されるようにします。
Warning
一部のレジストリ値は CA に関連付けられますが、他のレジストリ値はドメイン環境、物理ホスト コンピューター、Windows バージョン、または他の役割サービスに関連付けられています。 そのため、一部のレジストリ パラメーターはソース CA コンピューターから変更せずに移行する必要があり、他のレジストリ パラメーターは移行しないでください。 ターゲット CA で復元された.reg テキスト ファイルにリストされていない値は、既存の設定または既定値を保持します。
ターゲット CA にインポートしないレジストリ値を削除します。 .regテキスト ファイルを編集すると、ターゲット CA にインポートできます。 移行元サーバー のレジストリ設定をインポート先サーバーにインポートすると、移行元 CA の構成が移行先サーバーに移行されます。
移行先 CA のソース CA レジストリ バックアップをインポートする
ローカルの Administrators グループのメンバーとして、移行先サーバーにログオンします。
コマンドプロンプトウィンドウを開く。
net stop certsvc と入力し、Enter キーを押します。
「レジストリ設定Backup.reg」と入力し、Enter キーを押します。
CA レジストリ設定を編集する
Select Start, type regedit.exe in the Search programs and files box, and press ENTER to open the Registry Editor.
In the console tree, locate the key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration, and select Configuration.
In the details pane, double-click DBSessionCount.
Select Hexadecimal. In Value data, type 64, and then select OK.
次の設定で指定した場所が移行先サーバーに対して正しいことを確認し、必要に応じて CA データベースとログ ファイルの場所を示すように変更します。
DBDirectory
DBLogDirectory
DBSystemDirectory
DBTempDirectory
Important
移行先サーバーの名前が移行元サーバーの名前と異なる場合にのみ、手順 6 から 8 を実行します。
In the console tree of the registry editor, expand Configuration, and select your CA name.
移行元サーバー名を移行先サーバー名に置き換えて、次のレジストリ設定の値を変更します。
Note
次の一覧では、CACertFileName と ConfigurationDirectory の値は、特定の CA インストール オプションが指定されている場合にのみ作成されます。 これら 2 つの設定が表示されない場合は、次の手順に進むことができます。
CAServerName
CACertFileName
ConfigurationDirectory – この値は、Windows レジストリの次の場所に表示されます: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration.
宛先 CA で証明書拡張機能を確認する
ソース CA レジストリ設定をインポートし、サーバー名の変更がある場合にレジストリを編集する手順は、ソース CA が CRL と CA 証明書を発行するために使用したネットワークの場所を保持することを目的としています。 ソース CA が既定の Active Directory の場所に発行された場合は、前の手順を完了した後、発行オプションが有効になっている拡張機能と、ソース サーバーの NetBIOS 名を参照する LDAP URL が必要です。たとえば、ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>。
多くの管理者は、ネットワーク環境用にカスタマイズされた拡張機能を構成するため、CRL 配布ポイントと機関情報アクセス拡張機能を構成するための正確な手順を提供することはできません。
構成されている場所と発行オプションを慎重に確認し、組織の要件に従って拡張機能が正しいことを確認します。
証明機関スナップインを使用して拡張機能を確認する
CRL 配布ポイントの指定 () で説明されている手順の例に従って、https://go.microsoft.com/fwlink/?LinkID=145848ポイントと機関情報のアクセス拡張機能と公開オプションを確認および変更します。
移行先サーバー名が移行元サーバー名と異なる場合は、宛先サーバーの NetBIOS 名と置換変数 <ServerShortName> を参照する場所を指定する LDAP URL を追加します (例:
ldap:///CN=\<CATruncatedName\>\<CRLNameSuffix\>,CN=\<ServerShortName\>,CN=CDP,CN=Public Key Services,CN=Services,\<ConfigurationContainer\>\<CDPObjectClass\>)。CDP オプションが設定されていることを確認して、以前の CDP の場所が、新しく発行された証明書の CDP 拡張機能または CRL の最新 CRL 拡張機能に含まれていないことを確認します。
証明書テンプレートの一覧を復元する
次の手順は、エンタープライズ CA に対してのみ必要です。 スタンドアロン CA には証明書テンプレートがありません。
証明書テンプレートを宛先 CA に割り当てる
管理者資格情報を使用して宛先 CA にログオンします。
コマンド プロンプト ウィンドウを開きます。
型:
certutil -setcatemplates + <templatelist>し、Enter キーを押します。Note
Replace templatelist with a comma-separated list of the template names that are listed in the catemplates.txt file created during the procedure "To record a CA templates list by using Certutil.exe." For example, certutil -setcatemplates +Administrator,User,DomainController.
AIA コンテナーと CDP コンテナーにアクセス許可を付与する
移行先サーバーの名前がソース サーバーと異なる場合、CRL と CA 証明書を発行するには、移行先サーバーに AD DS のソース サーバーの CDP コンテナーと AIA コンテナーに対するアクセス許可を付与する必要があります。 サーバー名が変更された場合は、次の手順を実行します。
AIA コンテナーと CDP コンテナーに対するアクセス許可を付与する
Enterprise Admins グループのメンバーとして、Active Directory サイトとサービス スナップインがインストールされているコンピューターにログオンします。 Active Directory サイトとサービス (dssite.msc) を開きます。
コンソール ツリーで、最上位ノードを選択します。
On the View menu, select Show services node.
In the console tree, expand Services, expand Public Key Services, and then select AIA.
In the details pane, right-click the name of the CA, and then select Properties.
Select the Security tab, and then select Add.
Select Object Types, select Computers, and then select OK.
Type the name of the CA, and select OK.
In the Allow column, select Full Control, and select Apply.
The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. そのアカウントを削除できます。 To do so, select it and then select Remove. Select OK.
In the console tree, expand CDP, and then select the folder with the same name as the CA.
In the details pane, right-click the CRLDistributionPoint item at the top of the list, and then select Properties.
Select the Security tab, and then select Add.
Select Object Types, select Computers, and then select OK.
Type the name of the destination server, and select OK.
In the Allow column, select Full Control, and select Apply.
The previous CA computer object is displayed (as Account Unknown with a security identifier following it) in Group or user names. そのアカウントを削除できます。 To do so, select it and then select Remove. select OK.
Repeat steps 13 through 18 for each CRLDistributionPoint item.
Note
共有フォルダーの場所に CRL を発行するために CDP 拡張機能で file//\computer\share 構文を使用している場合は、宛先 CA がその場所に書き込みできるように、その共有フォルダーへのアクセス許可を調整する必要がある場合があります。 宛先サーバーで CDP をホストしていて、宛先のエイリアス名 (たとえば、pki.contoso.com) を含む AIA または CDP パスを使用している場合は、正しい宛先 IP アドレスを指すように DNS レコードを調整する必要がある場合があります。
フェールオーバー クラスタリングの追加手順
フェールオーバー クラスターに移行する場合は、CA データベースとレジストリ設定が移行先サーバーに移行された後、次の手順を実行します。
- 宛先 CA のフェールオーバー クラスタリングを構成する
- 公開キー コンテナーに対するアクセス許可を付与する
- AD DS でクラスター化された CA の DNS 名を編集する
- フェールオーバー クラスターの CRL 配布ポイントを構成する
宛先 CA のフェールオーバー クラスタリングを構成する
フェールオーバー クラスターに移行する場合は、次の手順を実行して、AD CS のフェールオーバー クラスタリングを構成します。
AD CS をクラスター リソースとして構成する
Select Start, point to Run, type Cluadmin.msc, and then select OK.
フェールオーバー クラスター管理スナップインのコンソール ツリーで、[ サービスとアプリケーション] を選択します。
On the Action menu, select Configure a service or Application. [ 開始する前 に] ページが表示されたら、[ 次へ] を選択します。
In the list of services and applications, select Generic Service, and select Next.
サービスの一覧で Active Directory 証明書サービスを選択し、[ 次へ] を選択します。
Specify a service name, and select Next.
Select the disk storage that is still mounted to the node, and select Next.
To configure a shared registry hive, select Add, type SYSTEM\CurrentControlSet\Services\CertSvc, and then select OK. Select Next twice.
Select Finish to complete the failover configuration for AD CS.
コンソール ツリーで、[ サービスとアプリケーション] をダブルクリックし、新しく作成したクラスター化されたサービスを選択します。
In the details pane, select Generic Service. On the Action menu, select Properties.
Change Resource Name to Certification Authority, and select OK.
CA にハードウェア セキュリティ モジュール (HSM) を使用する場合は、次の手順を実行します。
CA とネットワーク HSM サービスの間に依存関係を作成するには
フェールオーバー クラスター管理スナップインを開きます。 コンソール ツリーで、[ サービスとアプリケーション] を選択します。
詳細ウィンドウで、クラスター化されたサービスの以前に作成した名前を選択します。
On the Action menu, select Add a resource, and then select Generic Service.
In the list of available services displayed by the New Resource wizard, select the name of the service that was installed to connect to your network HSM. Select Next twice, and then select Finish.
コンソール ツリー の [サービスとアプリケーション ] で、クラスター化されたサービスの名前を選択します。
In the details pane, select the newly created Generic Service. On the Action menu, select Properties.
On the General tab, change the service name if desired, and select OK. サービスがオンラインであることを確認します。
In the details pane, select the service previously named Certification Authority. On the Action menu, select Properties.
On the Dependencies tab, select Insert, select the network HSM service from the list, and select OK.
公開キー コンテナーに対するアクセス許可を付与する
フェールオーバー クラスターに移行する場合は、次の手順を実行して、すべてのクラスター ノードに次の AD DS コンテナーに対するアクセス許可を付与します。
- AIA コンテナー
- 登録コンテナー
- KRA コンテナー
AD DS で公開キー コンテナーに対するアクセス許可を付与する
ドメイン メンバー コンピューターに、Domain Admins グループまたは Enterprise Admins グループのメンバーとしてログオンします。
Select Start, point to Run, type dssite.msc, and then select OK.
コンソール ツリーで、最上位ノードを選択します。
On the View menu, select Show services node.
In the console tree, expand Services, then Public Key Services, and then select AIA.
In the details pane, right-click the name of the source CA, and then select Properties.
Select the Security tab, and then select Add.
Select Object Types, select Computers, and then select OK.
Type the computer account names of all cluster nodes, and select OK.
In the Allow column, select the Full Control check box next to each cluster node, and select OK.
In the console tree, select Enrollment Services.
In the details pane, right-click the name of the source CA, and then select Properties.
Select the Security tab, and then select Add.
Select Object Types, select Computers, and then select OK.
Type the computer account names of all cluster nodes, and select OK.
In the Allow column, select the Full Control check box next to each cluster node, and select OK.
In the console tree, select KRA.
In the details pane, right-click the name of the source CA, then select Properties.
Select the Security tab, and then select Add.
Select Object Types, select Computers, and then select OK.
Type the names of all cluster nodes, and select OK.
In the Allow column, select the Full Control check box next to each cluster node, and select OK.
AD DS でクラスター化された CA の DNS 名を編集する
CA サービスが最初のクラスター ノードにインストールされると、Enrollment Services オブジェクトが作成され、そのクラスター ノードの DNS 名が Enrollment Services オブジェクトの dNSHostName 属性に追加されました。 CA はすべてのクラスター ノードで動作する必要があるため、Enrollment Services オブジェクトの dNSHostName 属性の値は、「AD CS をクラスター リソースとして構成するには」の手順 6 で指定したサービス名である必要があります。
クラスター化された CA に移行する場合は、アクティブなクラスター ノードで次の手順を実行します。 1 つのクラスター ノードでのみ手順を完了する必要があります。
AD DS でクラスター化された CA の DNS 名を編集する
アクティブなクラスター ノードに Enterprise Admins グループのメンバーとしてログオンします。
Select Start, point to Run, type adsiedit.msc, and then select OK.
In the console tree, select ADSI Edit.
On the Action menu, select Connect to.
In the list of well-known naming contexts, select Configuration, and select OK.
In the console tree, expand Configuration, Services, and Public Key Services, and select Enrollment Services.
In the details pane, right-click the name of the cluster CA, and select Properties.
Select dNSHostName, and select Edit.
フェールオーバー クラスター マネージャー スナップインの [フェールオーバー クラスター管理 ] に表示される CA のサービス名を入力し、[ OK] を選択します。
Select OK to save changes.
フェールオーバー クラスターの CRL 配布ポイントを構成する
CA の既定の構成では、サーバーの短い名前が CRL 配布ポイントと機関情報アクセスの場所の一部として使用されます。
フェールオーバー クラスターで CA が実行されている場合、サーバーの短い名前は、CRL 配布ポイントと機関情報アクセスの場所にあるクラスターの短い名前に置き換える必要があります。 AD DS で CRL を発行するには、CRL 配布ポイント コンテナーを手動で追加する必要があります。
Important
アクティブなクラスター ノードで次の手順を実行する必要があります。
構成されている CRL 配布ポイントを変更する
アクティブなクラスター ノードにローカル Administrators グループのメンバーとしてログオンします。
Select Start, select Run, type regedit, and then select OK.
Locate the registry key \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration.
CA の名前を選択します。
In the right pane, double-click CRLPublicationURLs.
In the second line, replace %2 with the service name specified in step 6 of the procedure "To configure AD CS as a cluster resource."
Tip
サービス名は、フェールオーバー クラスター管理スナップインの [サービスとアプリケーション] にも表示されます。
CA サービスを再起動します。
Open a command prompt, type certutil -CRL, and press ENTER.
Note
"ディレクトリ オブジェクトが見つかりません" というエラー メッセージが表示された場合は、次の手順を実行して、AD DS に CRL 配布ポイント コンテナーを作成します。
AD DS で CRL 配布ポイント コンテナーを作成する
At a command prompt, type cd %windir%\System32\CertSrv\CertEnroll, and press ENTER. certutil –CRL コマンドによって作成された CRL ファイルは、このディレクトリに配置する必要があります。
AD DS で CRL を発行するには、 certutil -f -dspublish"CRLFile.crl" と 入力し、Enter キーを押します。
Next step
CA を移行する手順を完了したら、「証明機関の移行の検証」で説明されている手順 を完了する必要があります。