証明機関を別のサーバーに移動する方法

この記事では、証明機関 (CA) を別のサーバーに移動する方法について説明します。

適用対象:Windows Server 2000、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022
元の KB 番号: 298138

注:

この記事は、Windows 2000、Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 2022 に適用されます。 Windows 2000 のサポートは、2010 年 7 月 13 日に終了しました。 Windows 2000 サポート終了ソリューション センターは、Windows 2000 からの移行戦略を計画するための出発点です。 Windows 2008 および 2008 R2 のサポートは、2020 年 1 月 14 日に終了しました。 詳細については、「Microsoft サポート ライフサイクル ポリシー」を参照してください。

概要

証明機関 (CA) は、organizationの公開キー インフラストラクチャ (PKI) の中心的なコンポーネントです。 CA は、長年または数十年にわたって存在するように構成されており、その間、CA をホストするハードウェアはおそらくアップグレードされます。

注:

Windows 2000 Server を実行しているサーバーから Windows Server 2003 を実行しているサーバーに CA を移動するには、まず Windows 2000 Server を実行している CA サーバーを Windows Server 2003 にアップグレードする必要があります。 その後、この記事で説明されている手順に従うことができます。

ターゲット サーバーの %Systemroot% が、システム状態バックアップの作成元サーバーの %Systemroot% と一致していることを確認します。

CA サーバー コンポーネントをインストールするときに、CA ファイルのパスを変更して、それらがバックアップの場所と一致するようにする必要があります。 たとえば、 D:\Winnt\System32\Certlog フォルダーからバックアップする場合は、 バックアップを D:\Winnt\System32\Certlog フォルダーに復元する必要があります。 バックアップを C:\Winnt\System32\Certlog フォルダーに復元することはできません。 バックアップを復元した後、CA データベース ファイルを既定の場所に移動できます。

バックアップを復元しようとして、バックアップとターゲット サーバーの %Systemroot% が一致しない場合は、次のエラー メッセージが表示されることがあります。

完全なイメージからの復元を実行する前に、増分イメージの復元を実行することはできません。 ディレクトリ名が無効です。 0x8007010b (WIN32/HTTP:267)

証明書サービスを 32 ビット オペレーティング システムから 64 ビット オペレーティング システムに移動するか、またはその逆に移動すると、次のいずれかのエラー メッセージで失敗する可能性があります。

予期されるデータがこのディレクトリに存在しません。

完全なイメージ 0x8007010bからの復元を実行する前に増分イメージの復元を実行することはできません (WIN32/HTTP:267)

データベースの形式が 32 ビット バージョンから 64 ビット バージョンに変更されると、非互換性が発生し、復元がブロックされます。 これは、Windows 2000 から Windows Server 2003 CA への移行に似ています。 ただし、32 ビット バージョンの Windows Server 2003 から 64 ビット バージョンへのアップグレード パスはありません。 そのため、Windows Server 2003 ベースのコンピューター上の 64 ビット データベースに既存の 32 ビット データベースを移動することはできません。 ただし、Windows Server 2003 CA (Windows Server 2003 x86 で実行) から Windows Server 2008 R2 CA (Windows Server 2008 R2 x64 で実行) にアップグレードできます。 このアップグレードはサポートされています。

x64 ベースのバージョンの Windows Server 2003 R2 CD2 では、EM64T アーキテクチャまたは AMD64 アーキテクチャに基づく 64 ビット バージョンの Windows Server 2003 のみが更新されます。

証明機関のキーとデータベースのバックアップと復元

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. 証明機関スナップインの [証明書テンプレート] フォルダーで構成されている証明書テンプレートに注意してください。 [証明書テンプレート] 設定は Active Directory に格納されます。 これらは自動的にバックアップされません。 同じテンプレート セットを維持するには、新しい CA の証明書テンプレート設定を手動で構成する必要があります。

    注:

    [証明書テンプレート] フォルダーは、エンタープライズ CA にのみ存在します。 スタンドアロン CA では証明書テンプレートは使用されません。 したがって、この手順はスタンドアロン CA には適用されません。

  2. 証明機関スナップインを使用して、CA データベースと秘密キーをバックアップします。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[ すべてのタスク] をクリックし、[ CA のバックアップ ] をクリックして証明機関のバックアップ ウィザードを開始します。
    2. [ 次へ] をクリックし、[ 秘密キーと CA 証明書] をクリックします。
    3. [ 証明書データベースと証明書データベース ログ] をクリックします。
    4. バックアップの場所として空のフォルダーを使用します。 バックアップ フォルダーに新しいサーバーからアクセスできることを確認します。
    5. [次へ] をクリックします。 指定したバックアップ フォルダーが存在しない場合は、証明機関のバックアップ ウィザードによって作成されます。
    6. 「」と入力し、CA 秘密キー バックアップ ファイルのパスワードを確認します。
    7. [ 次へ] をクリックし、バックアップ設定を確認します。 次の設定が表示されます。
      • 秘密キーと CA 証明書
      • 発行されたログと保留中の要求
    8. [完了] をクリックします。
  3. この CA のレジストリ設定を保存します。 これを行うには、次の手順を実行します。

    1. [スタート][ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. 次のレジストリ サブキーを見つけて右クリックします。
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. [エクスポート] をクリックします。
    4. 手順 2d で定義した CA バックアップ フォルダーにレジストリ ファイルを保存します。

    注:

    既定では、Active Directory Certificate Services (AD CS) は、パスに CA コンピューターのホスト名を含む証明書失効リスト (CRL) 配布ポイント拡張機能で構成されます。 つまり、移行前に CA によって発行された証明書には、古いホスト名を持つ証明書検証パスが含まれている可能性があります。 これらのパスは、移行後に有効でなくなる可能性があります。 失効チェック エラーを回避するには、古い (移行前) パスと新しいパスに CRL を発行するように新しい CA を構成する必要があります。 古い CA を完全に削除する必要がある場合は、 新しい CA に 2 つ目のコンピューター名を追加できます。 これを行うには、以前のコンピューター名を Active Directory で使用できる必要があります。 この時点で、CRL 配布ポイントを新しい CA に追加できます。

  4. 古い CA の CRL 配布ポイントを確認します。 これらの設定は、新しい CA で構成する必要があります。

    1. 古い CA で cmd.exe を開きます。
    2. pkiview を入力します。
    3. 構成をエクスポートします。
  5. 古いサーバーから証明書サービスを削除します。

    注:

    この手順では、Active Directory からオブジェクトを削除します。 この手順は順序を外して実行しないでください。 ターゲット CA のインストール後にソース CA の削除を実行すると (このセクションの手順 7)、ターゲット CA は使用できなくなります。

  6. 古いサーバーの名前を変更するか、ネットワークから完全に切断します。

  7. 証明書サービスを新しいサーバーにインストールします。 それには、以下の手順を実行します。

    注:

    新しいサーバーのコンピューター名は、古いサーバーと同じである必要があります。

    1. コントロール パネルの [プログラムの追加と削除] をダブルクリックします。
    2. [ Windows コンポーネントの追加と削除] をクリックし、Windows コンポーネント ウィザードで [証明書サービス ] をクリックし、[ 次へ] をクリックします。
    3. [ CA の種類 ] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. [ カスタム設定を使用してキー ペアと CA 証明書を生成する] をクリックし、[ 次へ] をクリックします。
    5. [ インポート] をクリックし、 のパスを入力します。バックアップ フォルダー内の P12 ファイルに、手順 2f で選択したパスワードを入力し、[OK] をクリック します
    6. [ 公開キーと秘密キーのペア ] ダイアログ ボックスで、[ 既存のキーを使用 する] がオンになっていることを確認します。
    7. [次へ] を 2 回クリックします。
    8. [証明書データベース設定] の既定の設定をそのまま使用し、[ 次へ] をクリックし、[完了] をクリックして Certificate Services のインストールを完了 します

    重要

    新しいサーバーに 別のコンピューター名がある場合は、次の手順に従います。

    1. コントロール パネルの [プログラムの追加と削除] をダブルクリックします。
    2. [ Windows コンポーネントの追加と削除] をクリックし、Windows コンポーネント ウィザードで [証明書サービス ] をクリックし、[ 次へ] をクリックします。
    3. [ CA の種類 ] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. [ カスタム設定を使用してキー ペアと CA 証明書を生成する] をクリックし、[ 次へ] をクリックします。
    5. [ インポート] をクリックし、 のパスを入力します。バックアップ フォルダー内の P12 ファイルに、手順 2f で選択したパスワードを入力し、[OK] をクリック します
    6. [ 公開キーと秘密キーのペア ] ダイアログ ボックスで、[ 既存のキーを使用 する] がオンになっていることを確認します。
    7. [次へ] を 2 回クリックします。
    8. [証明書データベース設定] の既定の設定をそのまま使用し、[ 次へ] をクリックし、[完了] をクリックして Certificate Services のインストールを完了 します
    9. 手順 3 で以前にエクスポートしたレジストリ キーを次のように変更します。
      1. エクスポートしたキーを右クリックします。
      2. 編集。
      3. CAServerName 値を新しいサーバー名に置き換えます。
      4. 保存して閉じます。
  8. Certificate Services サービスを停止します。

  9. 手順 3 で保存したレジストリ ファイルを見つけてダブルクリックして、レジストリ設定をインポートします。 古い CA からのレジストリ エクスポートに表示されるパスが新しいパスと異なる場合は、それに応じてレジストリのエクスポートを調整する必要があります。 既定では、Windows Server 2003 の新しいパスは C:\Windows です。

  10. 証明機関スナップインを使用して CA データベースを復元します。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[ すべてのタスク] をクリックし、[ CA の復元] をクリックします。

      証明機関の復元ウィザードが起動します。

    2. [ 次へ] をクリックし、[ 秘密キーと CA 証明書] をクリックします。

    3. [ 証明書データベースと証明書データベース ログ] をクリックします。

    4. バックアップ フォルダーの場所を入力し、[ 次へ] をクリックします。

    5. バックアップ設定を確認します。 [ 発行されたログ ] と [ 保留中の要求] 設定が表示されます。

    6. [ 完了] をクリックし、[ はい ] をクリックして、CA データベースが復元されたときに証明書サービスを再起動します。

    CA バックアップ フォルダーが正しいフォルダー構造形式でない場合、復元 CA プロセス中に次のエラーが発生する可能性があります。

    ---------------------------
    Microsoft Certificate Services
    ---------------------------

    予期されるデータがこのディレクトリに存在しません。
    別のディレクトリを選択してください。 ディレクトリ名が無効です。 0x8007010b (WIN32/HTTP: 267)

    正しいフォルダー構造は次のとおりです。

    • C:\Ca_Backup\CA_NAME.p12
    • C:\Ca_Backup\Database\certbkxp.dat
    • C:\Ca_Backup\Database\edb#####.log
    • C:\Ca_Backup\Database\CA_NAME.edb

    ここで 、C:\Ca_Backup は、手順 2 のバックアップ CA フェーズで選択したフォルダーです。

  11. 証明機関スナップインで、手順 1 で説明した証明書テンプレート設定を複製するために、証明書テンプレートを手動で追加または削除します。

注:

新しいテンプレートまたはカスタム テンプレートの発行に問題が発生した場合は、次の手順に従います。

  1. CA ロールを移行したフォレスト内の ドメイン コントローラー から、ADSI Edit を開始します。
  2. [ADSI Edit ] -> [接続] -> [ よく知られている名前付けコンテキストの選択] を右クリックし、[ 構成 ] -> [OK] を選択します。
  3. CN=Configuration に移動する |CN=Services |CN=公開キー サービス |CN=Enrollment Services。
  4. 登録元の右側のウィンドウで CA を右クリックし、[ プロパティ] をクリックします。 flags 属性を検索します。が 10 に設定されていることを確認します。
  5. そうでない場合は、 10 に設定し、Active Directory レプリケーションを待機または手動で強制します。
  6. ADSI 編集を閉じ、CA サーバーから新しいテンプレートを発行できることを確認します。

Windows 2000 Server で証明機関のキーとデータベースをバックアップおよび復元する

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

  1. 証明機関スナップインの [証明書テンプレート] フォルダーで構成されている証明書テンプレートに注意してください。 [証明書テンプレート] 設定は Active Directory に格納されます。 これらは自動的にバックアップされません。 同じテンプレート セットを維持するには、新しい CA の証明書テンプレート設定を手動で構成する必要があります。

    注:

    [証明書テンプレート] フォルダーは、エンタープライズ CA にのみ存在します。 スタンドアロン CA では証明書テンプレートは使用されません。 したがって、この手順はスタンドアロン CA には適用されません。

  2. 証明機関スナップインを使用して、CA データベースと秘密キーをバックアップします。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[ すべてのタスク] をクリックし、[ CA のバックアップ ] をクリックして証明機関のバックアップ ウィザードを開始します。
    2. [ 次へ] をクリックし、[ 秘密キーと CA 証明書] をクリックします。
    3. [発行された証明書ログと保留中の証明書要求キュー] をクリックします。
    4. バックアップの場所として空のフォルダーを使用します。 バックアップ フォルダーに新しいサーバーからアクセスできることを確認します。
    5. [次へ] をクリックします。 指定したバックアップ フォルダーが存在しない場合は、証明機関のバックアップ ウィザードによって作成されます。
    6. 「」と入力し、CA 秘密キー バックアップ ファイルのパスワードを確認します。
    7. [ 次へ ] を 2 回クリックし、バックアップ設定を確認します。 次の設定が表示されます。
      • 秘密キーと CA 証明書
      • 発行されたログと保留中の要求
    8. [完了] をクリックします。
  3. この CA のレジストリ設定を保存します。 これを行うには、次の手順を実行します。

    1. [スタート][ファイル名を指定して実行] の順にクリックし、[名前] ボックスに「regedit」と入力し、[OK] をクリックします。
    2. 次のレジストリ サブキーを見つけて右クリックします。 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
    3. [構成] をクリックし、[レジストリ] メニューの [レジストリ ファイルのエクスポート] をクリックします。
    4. 手順 2d で定義した CA バックアップ フォルダーにレジストリ ファイルを保存します。
  4. 古い CA の CRL 配布ポイントを確認します。 これらの設定は、新しい CA で構成する必要があります。

    1. 古い CA で cmd.exe を開きます。
    2. pkiview を入力します。
    3. 構成をエクスポートします。
  5. 古いサーバーから証明書サービスを削除します。

    注:

    この手順では、Active Directory からオブジェクトを削除します。 この手順は順序を外して実行しないでください。 ターゲット CA のインストール後にソース CA の削除を実行すると (このセクションの手順 7)、ターゲット CA は使用できなくなります。

  6. 古いサーバーの名前を変更するか、ネットワークから完全に切断します。

  7. 証明書サービスを新しいサーバーにインストールします。 それには、以下の手順を実行します。

    注:

    新しいサーバーのコンピューター名は、古いサーバーと同じである必要があります。

    1. コントロール パネルの [プログラムの追加と削除] をダブルクリックします。
    2. [ Windows コンポーネントの追加と削除] をクリックし、Windows コンポーネント ウィザードで [証明書サービス ] をクリックし、[ 次へ] をクリックします。
    3. [ 証明機関の種類 ] ダイアログ ボックスで、適切な CA の種類をクリックします。
    4. [ 詳細オプション] をクリックし、[ 次へ] をクリックします。
    5. [ 公開キーと秘密キーのペア ] ダイアログ ボックスで、[ 既存のキーを使用する] をクリックし、[ インポート] をクリックします。
    6. のパスを入力します。バックアップ フォルダー内の P12 ファイルに、手順 2f で選択したパスワードを入力し、[OK] をクリック します
    7. [次へ] をクリックし、必要に応じて CA の説明を入力し、[次へ] をクリックします。
    8. [データ ストレージの場所] の既定の設定をそのまま使用し、[ 次へ] をクリックし、[完了] をクリックして証明書サービスのインストールを完了 します
  8. Certificate Services サービスを停止します。

  9. 手順 3 で保存したレジストリ ファイルを見つけてダブルクリックして、レジストリ設定をインポートします。

  10. 証明機関スナップインを使用して CA データベースを復元します。 これを行うには、次の手順を実行します。

    1. 証明機関スナップインで、CA 名を右クリックし、[ すべてのタスク] をクリックし、[ CA の復元] をクリックします。

      証明機関の復元ウィザードが起動します。

    2. [ 次へ] をクリックし、[ 発行された証明書ログと保留中の証明書要求キュー] をクリックします。

    3. バックアップ フォルダーの場所を入力し、[ 次へ] をクリックします。

    4. バックアップ設定を確認します。 次の設定が表示されます。

      • 発行されたログ
      • 保留中の要求
    5. [ 完了] をクリックし、[ はい ] をクリックして、CA データベースが復元されたときに証明書サービスを再起動します。

  11. 証明機関スナップインで、手順 1 で説明した証明書テンプレート設定を複製するために、証明書テンプレートを手動で追加または削除します。

詳細

Windows Server 2003 と Windows Server 2008 のアップグレードと移行のシナリオの詳細については、「Active Directory 証明書サービスのアップグレードと移行ガイド」ホワイト ペーパーを参照してください。 ホワイト ペーパーについては、「 Active Directory Certificate Services のアップグレードと移行ガイド」を参照してください。