Windows エンタープライズ証明機関の使用を停止する方法と、Windows Server 2003 および Windows 2000 Server から関連するすべてのオブジェクトを削除する方法

文書翻訳 文書翻訳
文書番号: 889250 - 対象製品
すべて展開する | すべて折りたたむ

目次

はじめに

この資料では、Microsoft Windows エンタープライズ CA の使用を停止し、Active Directory ディレクトリ サービスから関連するオブジェクトをすべて削除する方法について、手順を追って説明します。

手順 1 : エンタープライズ CA で発行されたアクティブな証明書をすべて失効させる

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[証明機関] をクリックします。
  2. 目的の CA を展開し、[発行した証明書] フォルダをクリックします。
  3. 右側のウィンドウで、発行した証明書の 1 つをクリックし、Ctrl キーを押しながら A キーを押して、発行した証明書をすべて選択します。
  4. 選択した証明書を右クリックし、[すべてのタスク] をポイントし、[証明書の失効] をクリックします。
  5. [証明書の失効] ダイアログ ボックスで、失効する理由として [利用中止] をクリックし、[はい] をクリックします。

手順 2 : CRL 公開期間を延長する

  1. 証明機関 Microsoft 管理コンソール (MMC) スナップインで、[失効した証明書] フォルダを右クリックし、[プロパティ] をクリックします。
  2. [CRL 公開期間] ボックスに適切な延長の値を入力し、[OK] をクリックします。
: 証明書失効リスト (CRL) の有効期間は、失効した証明書の残りの有効期間よりも長くする必要があります。

手順 3 : 新しい CRL を公開する

  1. 証明機関 MMC スナップインで、[失効した証明書] フォルダを右クリックします。
  2. [すべてのタスク] をクリックし、[公開] をクリックします。
  3. [CRL の公開] ダイアログ ボックスで [新しい CRL] をクリックし、[OK] をクリックします。

手順 4 : 保留中の要求を拒否する

エンタープライズ CA には、デフォルトでは証明書の要求は保存されません。ただし、管理者はこのデフォルト動作を変更できます。保留中の証明書の要求を拒否するには、次の手順を実行します。
  1. 証明機関 MMC スナップインで、[保留中の要求] フォルダをクリックします。
  2. 右側のウィンドウで、保留中の要求の 1 つをクリックし、Ctrl キーを押しながら A キーを押して、保留中の証明書をすべて選択します。
  3. 選択した要求を右クリックし、[すべてのタスク] をポイントし、[拒否] をクリックします。

手順 5 : サーバーから証明書サービスをアンインストールする

  1. 証明書サービスを停止するために、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、[OK] をクリックします。
  2. コマンド プロンプトで certutil -shutdown と入力し、Enter キーを押します。
  3. コマンド プロンプトで certutil -key と入力して、ローカル コンピュータのすべてのキー ストアを表示します。このコマンドによって、インストールされているすべての暗号化サービス プロバイダ (CSP) の名前とそれぞれのプロバイダに関連付けられたキー ストアが表示されます。表示されたキー ストアには、次の例に示すように、目的の CA の名前が複数回表示されます。
    (1)Microsoft Base Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
    
    (5)Microsoft Enhanced Cryptographic Provider v1.0:
      1a3b2f44-2540-408b-8867-51bd6b6ed413
      MS IIS DCOM ClientSYSTEMS-1-5-18
      MS IIS DCOM Server
      Windows2000 Enterprise Root CA
      MS IIS DCOM ClientAdministratorS-1-5-21-436374069-839522115-1060284298-500
    
      afd1bc0a-a93c-4a31-8056-c0b9ca632896
      Microsoft Internet Information Server
      NetMon
      MS IIS DCOM ClientAdministratorS-1-5-21-842925246-1715567821-839522115-500
  4. 目的の CA に関連付けられたプライベート キーを削除します。これを行うには、コマンド プロンプトに次のコマンドを入力します。
    certutil -delkey CertificateAuthorityName
    : CA の名前に空白が含まれる場合は、引用符で名前を囲んでください。

    この例では、CertificateAuthorityName は "Windows2000 Enterprise Root CA" です。したがって、この例のコマンド ラインは次のようになります。
    certutil -delkey "Windows2000 Enterprise Root CA"
  5. キー ストアを再度表示し、目的の CA のプライベート キーが削除されたことを確認します。
  6. CA のプライベート キーを削除したら、証明書サービスをアンインストールします。これを行うには、次の手順を実行します。
    1. 証明機関 MMC スナップインがまだ開いている場合は閉じます。
    2. [スタート] ボタンをクリックし、[コントロール パネル] をポイントして、[プログラムの追加と削除] をクリックします。
    3. [Windows コンポーネントの追加と削除] をクリックします。
    4. [コンポーネント] ボックスで、[証明書サービス] チェック ボックスをオフにします。[次へ] をクリックし、[Windows コンポーネント ウィザード] の指示に従って証明書サービスの削除を実行します。

手順 6 : Active Directory から CA オブジェクトを削除する

Microsoft 証明書サービスがドメインのメンバ サーバーにインストールされている場合は、Active Directory の構成コンテナに複数のオブジェクトが作成されています。これらのオブジェクトは以下のとおりです。
  • certificateAuthority オブジェクト
    • CN=AIA,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain に格納されています。
    • CA の CA 証明書が含まれています。
    • 機関情報アクセス (AIA) が公開されている場所です。
  • crlDistributionPoint オブジェクト
    • CN=ServerName,CN=CDP,CN=Public Key Service,CN=Services,CN=Configuration,DC=ForestRootDomain に格納されています。
    • CA によって定期的に公開される CRL が含まれています。
    • CRL 配布ポイント (CDP) が公開されている場所です。
  • certificationAuthority オブジェクト
    • CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain に格納されています。
    • CA の CA 証明書が含まれています。
  • pKIEnrollmentService オブジェクト
    • CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=ForestRootDomain に格納されています。
    • エンタープライズ CA によって作成されています。
    • CA が発行のために構成した証明書の種類に関する情報が含まれています。この CA に登録できるセキュリティ プリンシパルは、このオブジェクトのアクセス許可で制御できます。
CA がアンインストールされた時点で、pKIEnrollmentService オブジェクトだけが削除されます。これにより、使用を停止された CA にはクライアントから登録できなくなります。この CA で発行された証明書はまだ保留中である可能性があるため、他のオブジェクトは保持されます。これらの証明書は、この資料の「手順 1 : エンタープライズ CA で発行されたアクティブな証明書をすべて失効させる」の手順に従って失効させる必要があります。

公開キー基盤 (PKI) のクライアント コンピュータでこれらの保留中の証明書を正常に処理するためには、そのコンピュータで、Active Directory の機関情報アクセス (AIA) と CRL 配布ポイントのパスを参照する必要があります。保留中の証明書をすべて削除し、CRL の有効期間を延長して、Active Directory で CRL を公開することをお勧めします。保留中の証明書がさまざまな PKI クライアントで処理されても、検証に失敗するため、それらの証明書は使用されません。

Active Directory での CRL 配布ポイントや AIA の維持が重要でない場合は、これらのオブジェクトを削除できます。以前にアクティブになっていたデジタル証明書を 1 つでも処理する可能性がある場合は、これらのオブジェクトを削除しないようにします。

証明書サービスのすべてのオブジェクトを Active Directory から削除するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[Active Directory サイトとサービス] をクリックします。
  2. [表示] メニューをクリックし、[サービス ノードの表示] をクリックします。
  3. [Services]、[Public Key Services] を順に展開し、[AIA] フォルダをクリックします。
  4. 右側のウィンドウで、目的の CA の CertificationAuthority オブジェクトを右クリックします。[削除] をクリックし、[はい] をクリックします。
  5. Active Directory サイトとサービス MMC スナップインの左側のウィンドウで、[CDP] フォルダをクリックします。
  6. 右側のウィンドウで、証明書サービスがインストールされているサーバーのコンテナ オブジェクトを探します。コンテナを右クリックし、[削除] をクリックして、[はい] を 2 回クリックします。
  7. Active Directory サイトとサービス MMC スナップインの左側のウィンドウで、[Certification Authorities] ノードをクリックします。
  8. 右側のウィンドウで、目的の CA の CertificationAuthority オブジェクトを右クリックします。[削除] をクリックし、[はい] をクリックします。
  9. Active Directory サイトとサービス MMC スナップインの左側のウィンドウで、[Enrollment Services] ノードをクリックします。
  10. 右側のウィンドウで、証明書サービスのアンインストールの際に、目的の CA の pKIEnrollmentService オブジェクトが削除されていることを確認します。オブジェクトが削除されていない場合は、そのオブジェクトを右クリックし、[削除] をクリックして、[はい] をクリックします。
  11. Active Directory サイトとサービス MMC スナップインの左側のウィンドウで、[Certificate Templates] フォルダをクリックします。
  12. 右側のウィンドウで、証明書テンプレートの 1 つをクリックし、Ctrl キーを押しながら A キーを押して、すべてのテンプレートを選択します。選択したテンプレートを右クリックし、[削除] をクリックして、[はい] をクリックします。

    重要 : テンプレートを誤って削除した場合は、証明書サービスを実行しているサーバーにエンタープライズ管理者としてログオンしていることを確認します。コマンド プロンプトで、cd %windir%\system32 と入力し、Enter キーを押します。次に、regsvr32 /i:i /n /s certcli.dll と入力し、Enter キーを押します。この操作で Active Directory 内の証明書テンプレートが再作成されます。
  13. Active Directory サイトとサービス MMC スナップインの左側のウィンドウで、[Public key Services] フォルダをクリックします。NTAuthCertificates オブジェクトを右クリックし、[削除] をクリックして、[はい] をクリックします。

    重要 : フォレスト内に他のエンタープライズ CA またはスタンドアロン CA がインストールされている場合は、このオブジェクトを削除しないでください。

手順 7 : CA データベースを削除する

別のサーバー上に CA が再作成される場合のために、証明書サービスのアンインストール時には、そのままの状態で CA データベースが残ります。

CA データベースを削除するには、%systemroot%\System32\Certlog フォルダを削除します。

手順 8 : ドメイン コントローラをクリーンアップする

CA をアンインストールした後で、すべてのドメイン コントローラに発行された証明書を削除する必要があります。ドメイン コントローラに発行された証明書を削除するには、Microsoft Windows 2000 リソース キットの Dsstore.exe ユーティリティを使用します。

古いドメイン コントローラ証明書を削除するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、Enter キーを押します。
  2. ドメイン コントローラ上で、コマンド プロンプトに dsstore -dcmon と入力し、Enter キーを押します。
  3. 3 と入力し、Enter キーを押します。3 を選択すると、すべてのドメイン コントローラ上のすべての証明書が削除されます。

    : Dsstore.exe ユーティリティによって、各ドメイン コントローラに発行されたドメイン コントローラ証明書が検証されます。検証できなかった証明書は、それぞれのドメイン コントローラから削除されます。
この時点で、証明書サービスを再インストールできます。インストールが終了すると、Active Directory に新しいルート証明書が公開されます。ドメインのクライアント コンピュータがそれらのセキュリティ ポリシーを更新する際に、新しいルート証明書がそれらのコンピュータの信頼されたルート ストアに自動的にダウンロードされます。

セキュリティ ポリシーを強制的に適用するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。cmd と入力し、Enter キーを押します。
  2. コマンド プロンプトに次のコマンドを入力します。

    Windows 2000
    secedit /refreshpolicy machine_policy /enforce

    Windows Server 2003
    gpupdate /force

詳細

CA オブジェクトの削除に役立つユーティリティ

Windows Server 2003 リソース キット ツールには、ドメインから CA オブジェクトを削除できるユーティリティが用意されています。

Certutil.exe ユーティリティ

Windows Server 2003 版の Certutil.exe ユーティリティを使用すると、Windows Server 2003 の CA と Windows 2000 の CA の両方を Active Directory から削除できます。Active Directory から CA を削除するには、コマンド プロンプトで次のコマンドを入力します。
certutil -dsdel CA Name
この例では、CA の名前は "Windows2000 Enterprise Root CA" です。したがって、この例のコマンド ラインは次のようになります。
certutil -dsdel "Windows2000 Enterprise Root CA"

: CA の名前に空白が含まれる場合は、引用符で名前を囲む必要があります。

Pkiview.msc ユーティリティ

このグラフィカルな MMC スナップインを使用すると、証明書およびオブジェクトの表示や、Active Directory への追加と削除を行うことができます。Pkiview.msc ユーティリティを使用するには、次の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。mmc と入力し、[OK] をクリックします。
  2. [ファイル] をクリックし、[開く] をクリックします。Pkiview.msc ユーティリティがインストールされているフォルダに移動して、Pkiview.msc を開きます。
  3. ルート ノード (Enterprise PKI) を右クリックし、[Manage AD Containers] をクリックします。
  4. それぞれのタブをクリックし、使用を停止した CA への参照をすべて削除します。
: これらのユーティリティは、Windows 2000 および Windows Server 2003 のエンタープライズ CA とスタンドアロン CA の両方に使用できます。

Windows Server 2003 リソース キット ツールの入手方法の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/downloads/details.aspx?familyid=9D467A69-57FF-4AE7-96EE-B18C4790CFFD&displaylang=en

プロパティ

文書番号: 889250 - 最終更新日: 2007年12月3日 - リビジョン: 5.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
キーワード:?
kbhowto kbhowtomaster kbcertservices KB889250
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com