ADCS SHA1からSHA2移行後にルート証明書が新しいハッシュアルゴリズムで配布されるタイミングについて動作検証をしてみました。

自宅に構築したADCSをSHA1からSHA2に移行しました。その後、ドメインに参加している端末にADCSのSHA2のルート証明書が発行されるかと思いきや、、、一向に配布されないので、確認したところ、まず、SHA2のルート証明書を配布するようにするためには、certsrvのコンソールを起動し、CA局のホスト名を右クリック、「すべてのタスク」→「CA証明書の書き換え」をクリックして、CA証明書を作成する必要があります。

注意点としてこの操作を行うにはADCSのサービスを停止する必要があるということですね。発行業務に影響がでるので注意が必要です。

「CA 証明書のインストール この操作中にActive Directory証明書サービスを実行することはできません。Active Directory証明書サービスを停止しますか？」のメッセージが間にでます。

 

 

書き換えを行うと、CA証明書の数が増えます。プロパティを開くと、

証明書 #0
証明書 #1 →NEW

という感じです。ここで注意がもう一つあります。暗号化の設定でプロバイダとハッシュアルゴリズムが変更になっていることを確認しておきます。

ここが正しくなっていない場合に、書き換えを行うとSHA1のルート証明書が新たにできてしまいます。

ざっと動作確認した結果ですが、、、

ルートCA証明書のSHA2へ移行後はSHA2のルート証明書のみが配布されるかということですが、これはNOでした。過去のSHA1のルート証明書もしっかりと配布されました。動作確認として、すでにSHA1のルート証明書を配布済みのサーバからルート証明書を削除して、GPO適用したら、過去のものを合わせて配布されました。

気になるのはこの情報はどこにあるのかということですが、CA局自体が持っているコンテナの証明書ではないかと考えています。ですので、証明書の書き換えを行う際には、正しくSHA2に移行していることを確認しておく必要がありますね。

過去のSHA1が配布されるのは逆に止めるべきなのかは気になりますが。完全に切り替わる動作と考えていました。並行稼働だと別ですが、マイグレートだとそういった動作になります。