組織で証明機関 (CA) を構成する前に、CA の名前付け規則を確立する必要があります。
CA の名前は 64 文字以下にする必要があります。任意の Unicode 文字を使用して名前を作成できますが、相互運用性を考慮する場合は ANSI 文字セットを使用する必要がある場合もあります。たとえば、CA の名前にアンダースコアなどの特殊文字が含まれている場合、特定の種類のルーターは、ネットワーク デバイス登録サービスを使用して証明書を登録できません。
 | 重要 |
|
ラテン文字以外の文字 (キリル文字、アラビア文字、中国文字など) を使用する場合、CA の名前は 64 文字未満にする必要があります。ラテン文字以外の文字のみを使用する場合、CA の名前は 37 文字未満にする必要があります。 |
Active Directory ドメイン サービス (AD DS) では、サーバーを構成するときに CA として指定した名前が CA の共通名となり、この名前が CA が発行するすべての証明書に反映されます。このため、CA の共通名には、完全修飾ドメイン名を使用しないことが重要です。そのようにすると、悪意のあるユーザーが証明書のコピーを取得しても、CA の完全修飾ドメイン名を確認および使用できないので、潜在的なセキュリティの脆弱性は発生しません。
CA の名前は、コンピューターの名前と同じでなくてもかまいません。ただし、Active Directory 証明書サービス (AD CS) をインストールした後、サーバーの名前を変更すると、CA が発行したすべての証明書が無効になります。
AD CS をインストールした後にサーバーの名前を変更するには、CA をアンインストールしてサーバーの名前を変更し、CA を再インストールして CA が発行したすべての証明を再発行する必要があります。
ドメインの名前を変更する場合は、CA を再インストールする必要はありません。ただし、CA が名前の変更をサポートするように CA を再構成する必要があります。
その他の参照情報
- ルート証明機関をインストールする
- Windows Server 2008 での Active Directory ドメイン名変更の管理に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=143938 ) - Windows Server 2003 Active Directory ドメイン名変更ツール (
https://go.microsoft.com/fwlink/?LinkId=91448 )