下位 CA の証明書Enterprise親 CA とは異なる証明書の有効期間を設定する方法

この記事では、親 CA とは異なる証明書の有効期間を持つエンタープライズ下位証明機関 (CA) を設定する方法について説明します。

適用対象:  Windows Server 2012R2
元の KB 番号:   281557

概要

次の手順を使用して、下位 CA に親 CA とは異なる証明書検証期間を指定できます。 このプロセスは、次の 3 つの手順に分かれています。

手順 1: 親 CA の検証期間を設定します。 手順 2: 下位 CA をインストールします。 手順 3: 親 CA の検証時間を設定します。

  1. 親 CA の検証期間を設定します。 これを行うには、次のコマンドを使用して、下位 CA の証明書を発行する親 CA で必要な検証期間を設定します。

    certutil -setreg ca\ValidityPeriod "Weeks" 
    certutil -setreg ca\ValidityPeriodUnits "3" 
    
  2. 下位 CA をインストールします。 手順 1 で使用した親 CA を必ず使用してください。

  3. 下位 CA の証明書を発行した親 CA の検証期間 (既定値である "2 年" など) をリセットします。 これを行うには、次のコマンドを使用します。

    certutil -setreg ca\ValidityPeriod "Years" 
    certutil -setreg ca\ValidityPeriodUnits "2"
    

    注意

    下位 CA で実行すると、下位 CA 証明書が 3 週間だけ有効な場合でも certutil -getreg ca\val* 、ValidityPeriod プロパティと ValidityPeriodUnits プロパティの両方が親 CA と同期されます。