同じフォレスト、ドメイン内に複数のADCS 認証局を構築できるかということが気になったので調べてみたところ、問題なく構築できそうということが分かりました。
基本的に企業の同一フォレスト、ドメイン内に複数のADCS ルートCA局を構築することは少ないと思いますが、検証などで複数構築したいケースもあるかと思います。
どうして複数のCA局を構築しても問題がないかについて書かれています。
明確にするために、同じフォレストに複数のWindowsルートCAをインストールしてもまったく問題はありません。新しいPKIを展開し、準備が整うまで、ユーザーまたはコンピューターに証明書を発行しないようにすることができます。そして、これらすべてを行っている間、古いCAは、極端な偏見を持ってすぐに削除されるという事実に気付かずに動き続けます。
インストールする各Windows CAには、Active Directoryで作成されたいくつかのオブジェクトが必要です。CAがドメインメンバーにインストールされている場合、これらのオブジェクトは自動的に作成されます。一方、ネットワークから切断されているワークグループコンピューターにCAをインストールする場合、これらのオブジェクトを自分で作成する必要があります。
ただし、構築作業には正しい権限にて行う必要があります。
オブジェクトはすべて、Active Directoryの次のコンテナの下に存在するそうです。以下は抜粋。
CN =公開鍵サービス、CN =サービス、CN =構成、DC = <forestRootPartition>
CN = AIAコンテナー
AIAはAuthority Information Accessの略で、このコンテナは、各CAがアプリケーションおよびサービス用に独自の証明書を発行し、必要に応じて見つける場所です。AIAコンテナは、CAごとに1つ、certificationAuthorityオブジェクトを保持します。オブジェクトの名前は、CA自体の正規名と一致します。
CN = CDPコンテナー
CDPはCRL配布ポイントを表します(およびCRLは証明書失効リストを表します)。このコンテナは、各CAが失効した証明書のリストをActive Directoryに公開する場所です。このコンテナには、証明書サービスがインストールされているサーバーのホスト名と一致する共通名を持つ別のコンテナオブジェクトがあります(フォレスト内の各Windows CAに1つ)。各サーバーコンテナ内には、CA自体の名前が付けられたcRLDistributionPointオブジェクトがあります。CAの実際のCRLは、このオブジェクトに公開されます。
CN =証明書テンプレートコンテナ
証明書テンプレートコンテナーは、pKICertificateTemplateオブジェクトのリストを保持します。各オブジェクトは、証明書テンプレートMMCスナップインに表示されるテンプレートの1つを表します。証明書テンプレートは共有オブジェクトです。つまり、フォレスト内のすべてのエンタープライズCAで使用できます。これらのオブジェクトにはCA固有の情報は保存されていません。
CN =認証機関コンテナ
証明機関コンテナには、エンタープライズが信頼する各ルートCAを表すcertificationAuthorityオブジェクトのリストが保持されます。ここで公開されるルートCA証明書は、信頼されたルートとしてフォレストの各メンバーに配布されます。ドメインサーバーにインストールされたWindowsルートCAは、ここで証明書を公開します。ワークグループサーバーにルートCAをインストールする場合、ここで証明書を手動で公開する必要があります。
CN =登録サービス
登録サービスコンテナーは、pKIEnrollmentServiceオブジェクトのリストを保持します。各オブジェクトは、フォレストにインストールされたエンタープライズCAを表します。pKIEnrollmentServiceオブジェクトは、特定のテンプレートに基づいて証明書を発行できるCAを見つけるためにWindowsクライアントによって使用されます。証明機関スナップインを使用して証明書テンプレートをCAに追加すると、そのCAのpKIEnrollmentServiceオブジェクトが更新され、変更が反映されます。
コンテナの中に、名前が付くので複数のCA局を構築することができるんですね。
ただ、使わなくなったCA局の証明書の配布をさせないようにするなど、考慮すべき点もあり、複数使うことのリスクを考える必要があります。
今回の内容を見る限り、テンプレートを使えなくすることで自動配布されなくなりそうですが。しっかりと検証が必要ですね。
