エクスポートしたPFX証明書の状態を確認するpowershellコマンド

ADCSで社内のローカル認証局を構築しているケースが多いと思いますが、その中で、証明書をPFXファイルとしてエクスポートすることがあると思いますが、エクスポートした証明書を確認するコマンドがあるようなので、備忘録として記載します。


参考情報はSHA2移行の関連の情報になりますが、エラーに対しての切り分けとして実施しているコマンドです。


質問内容の一部抜粋。

 

ただし、ドキュメントの最後でCAサービスの検証に進むと、失敗します。調査中にstart-serviceコマンドを発行すると、サービスが開始され、すぐに停止します。イベントビューアには、次のエラーがあります。

Active Directory証明書サービスが開始されませんでした。現在のCA証明書をロードまたは検証できませんでした。会社名-CAキーが存在しません。0x8009000d(-2146893811)。」

これは、証明書をWindows 8/2012マシンにインポートしてインポートし、再度エクスポートするステップ5の部分に関係していると思われます。私の最初の試みはWindows 8.1ラップトップで、それをエクスポートしてサーバーにコピーしましたが、うまくいかないようでした。2回目の試行で、元のCA証明書をServer 2012 R2サーバーに取得し、エクスポートして戻しました。同じ問題。

何が間違っているのでしょうか?また、CNGHashAlgorithmをSHA256に変更してCA証明書を更新しようとしましたが、更新された証明書は最終的にSHA256でなくSHA1になります。

 

 

ここで回答の中で、確認するコマンドが書かれています。

 

>certutil –exportpfx my <serialnumber> <path>\certfilepfx
>certutil <path>\certfile.pfx


上記はエクスポートしたpfxファイルに対して確認を行います。


以下はアップされている情報の抜粋ですが、以下のように証明書情報が確認できます。

C:\Windows\system32>certutil c:\users\user\Downloads\Companyname-CA.p12
Enter PFX password:
================ Certificate 0 ================
================ Begin Nesting Level 1 ================
Serial Number: 6260xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Issuer: CN=Companyname-CA, DC=Companyname, DC=com
NotBefore: 5/19/2011 10:50 AM
NotAfter: 5/19/2016 10:56 AM
Subject: CN=Companyname-CA, DC=Companyname, DC=com
Certificate Template Name (Certificate Type): CA
CA Version: V0.0
Signature matches Public Key
Root Certificate: Subject matches Issuer
Template: CA, Root Certification Authority
Cert Hash(sha1): 0e 6a xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx
---------------- End Nesting Level 1 ----------------
Key Container = {D99BF55F-D915-4A84-8CF0-BCAFC5949BFE}
Unique container name: 04fe178c3d3616386aaebc11070d9da3_47cffd07-f369-466c-854
b-e4a0bc59b6fa
Provider = Microsoft Strong Cryptographic Provider
Signature test passed
CertUtil: -dump command completed successfully.

 

certutilコマンドは色々と使えるので活用してみてください。

情報元はこちら。

https://social.technet.microsoft.com/Forums/en-US/f2de0603-b373-4b5d-b6bb-9ce55a882b0a/updating-ad-cs-to-issue-sha256-certificates?forum=winserversecurity

 

ADCSは国内にあんまり情報がないので、海外のフォーラムが参考になります。