以前の職場でADCSでSAN属性の別名付き証明書が作成できないという情報があり調べてみました。確かに、Windows Server 2016で構築したADCSでは、SAN属性の別名付き証明書が作成できませんでした。おそらく何かしら設定が必要なのではと思いましたが、やはりレジストリの編集が必要なようです。
ADCSはルートCAの有効期限を増やすのにもレジストリの編集が必要ですし、構築する際の注意点とも言えるかもしれないですね。ちなみに、ワイルドカードの証明書は特に設定なしで証明書を発行することが可能です。
ADCS SAN属性の別名付き証明書の作成にはレジストリの設定手順
そして、ADCS SAN属性の別名付き証明書の作成にはレジストリの設定手順になります。参考になる情報はこちら。
セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法
セキュリティで保護された LDAP (Lightweight Directory Access Protocol) 証明書にサブジェクトの別名 (SAN) を追加する方法について説明したものですが、参考にできます。
Windows Server 2003 ベースと情報は古いですが、Windows Server 2016でも同様の動作でした。デフォルトでは、SAN 拡張子を含む証明書を発行しませんとあり、証明書要求に SAN エントリが含まれていても、これらのエントリは発行される証明書から除外されるとあります。おそらくWindows Server 2019も同様の動作となるとは思いますが、動作確認はしていません。
証明機関 (CA) サービスを実行するサーバー上のコマンド プロンプトで、次のコマンドを実行します。コマンドごとに Enter キーを押します。
> certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
> net stop certsvc
> net start certsvc
また、無効化する場合は以下のコマンドを実行します。
> certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
> net stop certsvc
> net start certsvc
有効化する要望はあっても、無効化したいということはないと思いますが。意外と別名の証明書って発行したいという要望があると思いますので、この情報は知っておいて損はないと思います。運用入ってからレジストリの変更はしたくないと思いますので、構築段階で有効にしておくといいかもしれません。
