Windows Serverに認証局を立てるところまで、前回のケースで説明させていただきました。
通常のクライアント証明書を用意するところまでであればこの形で対応がすむのですが、サーバー証明書で別名をもったり ワイルドカード証明書を出力したりといったケースでは、Web登録機能を利用するのが便利です。
というわけで、ADCSのWeb登録機能を用意しましょう。
実はADFSを組むにあたって、別名を持った証明書が必要になることがわかり、急きょ作成したのは秘密です。笑
とはいえ、PKIの要となる証明機関とユーザーが触りに来るWeb登録機能を同一のサーバーで賄うのは少し抵抗もあるため、別のサーバーで準備する手法を紹介します。
まずは用途が近しいサーバーに機能を追加するところから始まります。
今回はADFSになる予定のサーバーに導入してみました。
役割と機能の追加ウィザードを起動しましょう。
続いていつもの選択ではありますが、役割ベースまたは機能ベースのインストールを選択します。
インストール対象のサーバーを選択します。
次に、別のサーバーに証明機関はインストール済みですが、Active Directory 証明書サービスを役割として選択します。
選択すると証明機関管理ツールの展開を促されますが、別サーバーにあることもあり、今回は管理ツールを含めるチェックボックスをオフにしておきましょう。
すると、以下のように表記が消えています。
これでMMCに証明機関が追加されないということになりますね。
Active Directory 証明書サービスにチェックが入ったことを確認し、先に進みましょう。
機能も特段追加する要素はありません。(IISの導入がされていない場合でも後ほど確認されます。)
Active Directory 証明書サービスの設定にはいります。
証明機関の構築時は一番上にチェックを入れましたが、今度は上から4番目の証明機関 Web登録をチェックします。
インストール状況によりますが、IISが導入されていない場合は以下のメッセージが表示されます。
追加となる機能は以下の通りです。
問題なければ先に進みましょう。
これで設定は完了です。後はインストールの完了を待つのみとなります。
今回も10分程度でインストールは完了しました。
最近のWindowsサーバーはボタン一つで片付いていくことが多くなったので、シンプルで助かりますね。
これでインストールが完了です。
続いて設定を見ていきましょう。
証明機関の時と同様に、資格情報を入力します。
インストールした役割がWeb登録のみなので、チェックできるのもWeb登録のみとなっています。
Web登録を選択した場合、連動する証明機関が必要となります。
どの証明機関と連携するか選択していきます。
コンピュータ名でもCA名でもよいのですが、コンピュータ名からであれば選択が容易に行えます。
設定はこれだけです。先に進んでみましょう。
5分程度で構成が完了します。
構成完了後にIISが動いていることが確認できます。
この時点ではIISは暗号化されていないhttpのみが利用できる状態なので、暗号通信となるhttpsを有効化していきます。(証明書発行時はhttpsが必要となります)
IISマネージャーを開き、Default web Siteで操作からバインドを選びます。
サイトバインドが開くので追加していきましょう。
種類をhttpsに変更し、証明書を選択します。
前回の証明機関の設定が行われていれば、名前なしのサーバー証明書がドメイン参加サーバーには組み込まれているはずです。
これでhttps通信が可能となりました。
Default web Siteの下にCertSrvがあるので、ここを開き、アプリケーションの管理から*:443(https)参照を選択し、IEを起動しましょう。
このまま開くとlocalhostでの通信となり、証明書のCNとサイト名が一致しないためエラーが発生します。また、今回アクセスするサイトも未信頼なので、それらの登録を行っておきましょう。
ここでは試験のためにサーバー上でIEを開いていますが、この手順はクライアントマシンでの実施が望まれます。
とそのまえに、証明書のCNは何だったのか確認しておきましょう。
IISマネージャーのサーバー証明書を開きます。
ここで、先ほど設定した名称と同じものを探し、開いてみましょう。
全般タブの中にある発行先と書かれた部分がアクセスすべきアドレスとなります。
このアドレスをイントラネットゾーンに入れておきましょう。
場合によっては信頼済みでもよいのですが、このサーバーは極力社外からアクセスさせないようにしたほうが良いかと思います。(証明書の発行依頼を行うことができるため、できる限りセキュアにしておきましょう。)
さて、これで準備が整いました。IEを使って証明書のアドレスで起動していきます。
先ほどlocalhostだった部分を証明書のアドレスに書き換えてアクセスしましょう。
緑色の以下画面が出れば成功です。
これで証明書の詳細を決めていくことができるようになりました。
ちなみにlocalhostのままアクセスすると以下のように証明書のエラーが表示されます。
証明機関の対応でもあるので、このまま利用しない様に注意しましょう。笑
音楽:3tops