「Windows Admin Center(v2)」(WAC(v2))は、Microsoftが無料提供している、WebベースのWindows Server管理アプリです。WAC(v2)は自動生成される自己署名証明書を使用すると簡単にインストールできますが、その証明書の有効期限は60日間しかありません。有効期限が切れた証明書を入れ替える方法について、いくつかの方法を紹介します。Windows Admin Center 2311(WAC 2311)の時とは手順が変更されていることを、先に指摘しておきます。
WAC(v2)の自己署名証明書の有効期限切れ
WAC(v2)の最新バージョン、2410のインストール問題を修正したマイナーアップデート(バージョン2.4.2.1)がリリースされてから数か月経過しました。
ITニュース. Windows Admin Center(v2)2410のマイナーアップデートビルド「2.4.2.1」、1か月遅れでようやくリリース
WAC(v2)をインストール時に自動生成される自己署名証明書でインストールした場合、証明書の有効期限が切れてはいないでしょうか? 自己署名証明書の有効期間は60日で、有効期限切れになるとブラウザーは証明書エラーを表示するようになります(画面1)。
画面1 自己署名証明書でインストールした場合、インストールから60日以上経過すると、証明書が有効期限エラーとなる
内部的な使用や評価目的での自己署名証明書の使用という認識があるのなら(公的に信頼されていないというリスクを承知しているのなら)、その証明書のエラーを無視して使い続けることもできます。そのエラー表示(Microsoft Edgeの場合は[セキュリティ保護なし])は、その見た目がどうしても気になるはずです。そこで、新たに自己署名証明書を生成して入れ替える方法と、信頼された認証局から発行されたTLS証明書に入れ替える方法を紹介します。
方法(1): 上書きインストールして、新たな自己署名証明書(有効期間60日)と入れ替える
WAC 2311以前(実装方法が大きく変更された現在のv2に対して、v1と表現されることもあります)は、「プログラムのアンインストールまたは変更」(appwiz.cpl)から「Windows Admin Center」のインストールを変更し、新たな自己署名証明書を生成させて入れ替えたり、アプリケーションの信頼された発行元の証明書と入れ替えることができました。しかし、WAC(v2)2410は、「プログラムのアンインストールまたは変更」からはアンインストール操作しか行えなくなりました。
WAC(v2)において、有効期限が切れた自己署名証明書を入れ替える最も簡単な方法は、最新のインストーラーを使用してインストールを再実行して、上書きインストールすることです(画面2)。インストール後、インストール済みの拡張機能がすべて最新のものに更新されるまでしばらくかかりますが、管理対象の接続一覧やWAC(v2)の全体設定は引き継がれます。
画面2 WAC(v2)のインストーラーを再実行して、上書きインストールを行い、新たに自己署名証明書を生成させる
方法(2): 信頼された認証局から発行されたTLS証明書と入れ替える
現在の証明書のエラー状態に関係なく、WAC(v2)の現在の証明書を、信頼された認証局から発行されたTLS証明書、例えば、Windows ServerのActive Directory証明書サービスのエンタープライズPKIで発行された、有効期限の長いTLS証明書に入れ替えることができます。PowerShellで行う場合は、証明書スナップイン(certlm.msc)(またはdir cert:¥LocalMachine¥My)で証明書の拇印を確認した上で、PowerShellのウィンドウを管理者として開き、次のコマンドラインを実行します(画面3)。
| PS C:¥> Import-Module "$env:ProgramFiles\WindowsAdminCenter\PowerShellModules\Microsoft.WindowsAdminCenter.Configuration" PS C:¥> Set-WACCertificateSubjectName -Thumbprint 証明書の拇印 PS C:¥> Set-WACCertificateAcl PS C:¥> Restart-Service -Name WindowsAdminCenter |
画面3 PowerShellを使用してWAC(v2)に有効なTLS証明書を設定する
PowerShellを使用しない場合は、WAC(v2)のインストーラーを再実行して上書きインストールを行い、「TLS証明書の選択」ページ(前出の画面2)で「プレインストールされたTLS証明書を使用する」を選択して、次のページで証明書の拇印を入力します。
方法(3): 有効期限の長い自己署名証明書を生成して入れ替える
PowerShellのNew-SelfSignedCertificateコマンドレットを使用すると、任意の有効期間の自己署名証明書を生成できます。次の例は、「ws2025vm01」および「ws2025vm01.local」のDNS名を持つ、有効期間1年の自己署名証明書を作成し、エクスポートファイル(.cer)を介して、ローカルコンピューターの「信頼されたルート証明機関」(Cert:¥LocalMachine¥Root)にインポートします(画面4)。例えば、5年の有効期間にしたい場合は、(Get-Date).AddYears(1)を(Get-Date).AddYears(5)に置き換えてください。
| PS C:¥> $Cert = New-SelfSignedCertificate -Subject "MyWACSelfSignedCert" -DnsName "ws2025vm01","ws2025vm01.local" -CertStoreLocation "cert:\LocalMachine\My" -KeyAlgorithm RSA -KeyLength 2048 -KeyExportPolicy Exportable -NotAfter (Get-Date).AddYears(1) PS C:¥> Export-Certificate -Cert $cert -FilePath $env:temp\mycert.cer PS C:¥> SImport-Certificate -FilePath $env:temp\mycert.cer -CertStoreLocation "cert:\LocalMachine\Root" |
画面4 New-SelfSignedCertificateコマンドレットを使用して自己署名証明書を生成し、ファイルにエクスポート後、ルート証明機関にインポートする
続いて、証明書スナップインでローカルコンピューターの証明書ストア(certlm.msc)を開き、「個人¥証明書」にインストールされた自己署名証明書を確認します。ここで、証明書を右クリックして「すべてのタスク > 秘密キーの管理」を選択し、「追加」をクリックして、NETWORK SERVICEに「読み取り」以上のアクセス許可(既定は「フルコントロール」と「読み取り」)を付与します(画面5)。この設定を行わない場合、WAC(v2)は証明書を読み込めず、管理ツールのUIにアクセス可能な状態になりません。
画面5 証明書の秘密キーへのアクセス許可に、NETWORK SERVICEを追加し、「読み取り」以上のアクセス許可を付与する
あとは、方法(2)TLS証明書の入れ替えと同じ方法で、WAC(v2)に新しい自己署名証明書を設定します。なお、この自己署名証明書はルート証明機関にインポート済みなので、改めてエクスポート/インポートしなくても、信頼された証明書として機能します(画面6)。
| PS C:¥> Import-Module "$env:ProgramFiles\WindowsAdminCenter\PowerShellModules\Microsoft.WindowsAdminCenter.Configuration" PS C:¥> Set-WACCertificateSubjectName -Thumbprint 証明書の拇印 PS C:¥> Set-WACCertificateAcl PS C:¥> Restart-Service -Name WindowsAdminCenter |
画面6 WAC(v2)の証明書が、有効期間が1年の自己署名証明書と入れ替わった
