これまで何度か構築したことがありますが、会社内で証明書を気軽に使いたい場合は、Windows Server 2016にて、認証局を構築することができます。最近は仮想化基盤上で、Windowsサーバが構築し放題という環境が多いので、気軽に作成できます。
続いて、Windows Serverで認証局(ADCS)を構築する場合、スタンドアロンCAとエンタープライズCAのどちらかを選択することになりますが、証明書テンプレートの編集ができる為、便宜性からはエンタープライズCAを選択することになります。
そして、エンタープライズCAを導入する場合、証明機関の有効期限に関して、知識が必要です。Windows Server 2016にて、エンタープライズCAをインストール後、サーバー証明書をテンプレートから作成し、例えば有効期限を「5年」で作成し、証明書を発行しても、サーバー証明書の有効期限は「2年」で発行されます。
※上記はルートCA(ルート証明書)の有効期限を5年に設定。デフォルト5年
証明書テンプレートの有効期限を「5年」に設定したのに、「2年」で発行されるのには理由があります。エンタープライズCAにおいて、証明書の有効期限を決める要素は以下の3つがあり、その中の最小値が適用されます。
①ルートCAの有効期限
②証明書テンプレートの有効期限
③CAがインストールされたサーバーのレジストリ値
例えば、①ルート証明書が「5年」、②証明書テンプレートが「5年」でも、③のレジストリの値が原因で「2年」が適用されます。
つまり、気を付けないといけないのが、デフォルトではレジストリで設定されている値が「2年」であるということです。
証明書テンプレートの有効期限の制限を変更したい場合は、レジストリエディタを開き、以下の場所に移動します。
>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\
右画面の [ValidityPeriodUnits]の値をデフォルト値から任意の値に変更します。
変更後は、証明書サービスをWindows PowerShell コマンドを実行することで再起動できます。
>restart-service certsvc
これ知らないと確実に想定より、短い期間で証明書の有効期限が切れてしまうので注意が必要です。時間があったらWidows Server 2019でも確認してみたいと思います。おそらく同じ仕様だとは思いますが・・・。