Key Recovery Agent 証明書の有効期限が間もなく切れます。
Active Directory 証明書サービス (AD CS) では、 キーのアーカイブをサポートするため、キー回復証明書、Exchange (XCHG) 証明書、およびキーが必要となります。Key Recovery Agent 証明書の機能、XCHG 証明書、およびそれらの作成に必要な暗号化サービス プロバイダー (CSP) は、公開キー基盤にとって非常に重要です。
間もなく有効期限が切れる Key Recovery Agent 証明書を更新する
有効期限が切れた Key Recovery Agent 証明書は、キーの回復に使用できなくなります。キーのアーカイブを使用し続けるには、Key Recovery Agent 証明書を更新します。
この手順を実行するには、Key Recovery Agent 証明書に登録されたユーザーである必要があります。
Key Recovery Agent 証明書を更新するには、以下の手順を実行します。
[スタート] をクリックし、「certmgr.msc」と入力して Enter キーを押します。
コンソール ツリーで 、[証明書] をダブルクリックし、[個人用] をダブルクリックして、[証明書] をクリックします。
Key Recovery Agent 証明書を右クリックして、[すべてのタスク] をポイントし、[新しいキーで証明書を書き換え] をクリックするか、[詳細設定操作] と [同じキーでこの証明書を書き換え] をクリックして、証明書の書き換えウィザードを開始します。
ウィザードの手順に従って、証明書を更新します。
CA をホストしているコンピューター上で [スタート] をクリックし、[管理ツール] をポイントし、[証明機関] をクリックします。
コンソール ツリー内で、CA の名前をクリックします。
[操作] メニューの [プロパティ] をクリックします。
[回復エージェント] タブをクリックして、[キーをアーカイブする] をクリックします。
[使用する回復エージェントの数] で、アーカイブされたキーの暗号化に使用される Key Recovery Agent の数を入力します。[使用する回復エージェントの数] に指定する数は、1 から構成済みの Key Recovery Agent 証明書数の範囲にする必要があります。[追加] をクリックします。
[Key Recovery Agent の選択] で、表示されたキーの回復のための証明書をクリックし、[OK] をクリックします。証明書は [Key Recovery Agent の証明書] リストに表示されますが、その状態は [読み込まれていません] と表示されます。
[OK] または [適用] をクリックします。CA の再起動を指示するメッセージが表示されたら、[はい] をクリックします。CA が再起動されたら、証明書の状態は [有効] と表示されます。
キーのアーカイブおよび回復が正しく動作していることを確認するには、次の手順を実行します。
CA をホストしているコンピューター上で [スタート] をクリックし、[管理ツール] をポイントし、[証明機関] をクリックします。
コンソール ツリーで、承認期間 (CA) の名前を右クリックしてから、[プロパティ] をクリックします。
[回復エージェント] タブをクリックします。
Key Recovery Agent の証明書がすべて「有効」になっていることを確認します。
証明書テンプレート コンテナー内で、暗号化証明書に、[要求処理] タブ上で構成された [サブジェクトの秘密キーをアーカイブする] オプションがあることを確認します。
この証明書テンプレートに基づいて証明書に登録するためのアクセス許可を持つ、ユーザー アカウントの証明書スナップインを開きます。
コンソール ツリーで、[個人用] を右クリックし、[すべてのタスク] をポイントし、[新しい証明書の要求] をクリックして証明書の登録ウィザードを起動します。
暗号化テンプレートに基づいて証明書に登録し、登録が正常に完了し、エラーが報告されていないことを確認します。
登録が完了したら、[証明機関] スナップインを開きます。
コンソール ツリーで、[発行した証明書] をクリックします。
発行されたばかりの証明書のエントリを探し、スナップイン表示リストに「アーカイブされたキー」列を追加します。
先ほど発行した証明書の「アーカイブされたキー」列に表示された [はい] をクリックして確認します。
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 127 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.127" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>