ADCSのSHA2移行後にサーバ証明書、クライアント証明書がSHA2で発行されているかの確認方法について説明したいと思います。

 

ADCSのSHA2移行方法は、以下の公式情報が参考になります。

 

■暗号化サービスプロバイダー（CSP）からキーストレージプロバイダー（KSP）への証明機関キーの移行

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn771627(v=ws.11)?redirectedfrom=MSDN

 

 

これから作る認証局はSHA2になっているものと思いますが、古いOSで構築したものはいまだにSHA1の証明書で運営していることと思います。

 

上記手順に従うことでSHA1で運営している証明機関をSHA2に移行することができますが、気になるのは発行した証明書がSHA2になっているかどいうかの判断です。

 

証明書がSHA2になっているかどうかは、実際に証明書を発行してみることで確認できます。以下はマイクロソフトの公式サイトのサーバー証明書を参照させてもらいましたが、ブラウザでカギマークをクリックすると証明書を表示させることができます。

 

ここで「詳細」タブをクリックしてもらうと以下の画面が表示されます。署名アルゴリズム、署名ハッシュアルゴリズムを見てもらうと「sha256RSA」、「sha256」なっており、ここでSHA2アルゴリズムで作られた証明書ということが確認できます。

 

基本的にブラウザに関係なく、IE、FireFox、GoogleChromeのどのブラウザでも証明書の確認が可能です。クライアント証明書を確認したい場合は、「mmc」で証明書ストアをチェックすることで確認が可能です。