こんにちは。前回の投稿で Azure Stack で利用する証明書の CSR を作成する手順を記載しました。今回はWindows Server を利用して スタンドアロン認証局を構築する手順を紹介します。
Azure Stack は、公的認証局やプライべート認証局から発行された証明書の利用をサポートしています。Azure Stack は、マルチドメインかつワイルドカードの証明書を利用するため、公的認証局から発行するのは結構お金がかかるということです。また、社内でエンタープライズCA を利用していても、マルチドメインのワイルドカード証明書を発行できないという場合もあると思います。その場合は、スタンドアロン CA を準備するこも検討ください。
1、ADCS サービスのインストール
1、Windows Server 2016 に Active Directory 証明書サービスをインストールします。今回は スタンドアロンCA を準備するため、ドメイン参加は必要ありません。
2、ADCS で利用する役割サービスとして、”証明機関” と ”証明機関Web登録” を選択します。
3、それ以外は既定値でインストールします。
2、ADCS の構成
1、ADCS を構成します。資格情報では、ローカルのadministrator を選択します。
2、構成する役割サービスとして、”証明機関” と ”証明機関 Web 登録” を選択します。証明書機関 Web登録は、CRL を http で公開するために必要となります。
3、CA のセットアップで スタンドアロン CA を選択します。
4、秘密キーの種類は、”新しい秘密キーを作成する” を選択します。
9、暗号化オプションでは、”SHA256” を選択します。Azure Stack は、暗号化アルゴリズムとして Sha1 をサポートしていないためです。
10、CA の名前は変更せずそのまま 進めます。
11、証明書の有効期限を変更します。
12、CAデータベースは既定のままにします。
13、構成を選択します。
14、エラーなく構成できれば完了です。
3、証明書の有効期限を変更するレジストリ
1、レジストリを修正します。
CAの構成にて、証明書の有効期限を10年にした場合でもレジストリで変更が必要になります。
レジストリパス:HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\CertSvc\Configuration\ドメイン名-マシン名-CA
変更するのは下記2点あります。
・ValidityPeriod: Years になっていることを確認(既定値)
・ValidityPeriodUnits: 10 に変更 (既定値は1)
2、サービスの再起動
証明書サービスにて 起動、停止 を実施すれば完了です。
以上で構築は完了です。次回、CSR を読み込んで証明書を発行してみます!
mhiroblog 