Windows ADCS 証明書Web登録機能の追加について

Windows Serverに認証局を立てるところまで、前回のケースで説明させていただきました。
通常のクライアント証明書を用意するところまでであればこの形で対応がすむのですが、サーバー証明書で別名をもったり ワイルドカード証明書を出力したりといったケースでは、Web登録機能を利用するのが便利です。

というわけで、ADCSのWeb登録機能を用意しましょう。
実はADFSを組むにあたって、別名を持った証明書が必要になることがわかり、急きょ作成したのは秘密です。笑

とはいえ、PKIの要となる証明機関とユーザーが触りに来るWeb登録機能を同一のサーバーで賄うのは少し抵抗もあるため、別のサーバーで準備する手法を紹介します。

まずは用途が近しいサーバーに機能を追加するところから始まります。
今回はADFSになる予定のサーバーに導入してみました。

役割と機能の追加ウィザードを起動しましょう。

f:id:mohessu:20190810141242p:plain

続いていつもの選択ではありますが、役割ベースまたは機能ベースのインストールを選択します。

f:id:mohessu:20190810141304p:plain

インストール対象のサーバーを選択します。 

f:id:mohessu:20190810141349p:plain

次に、別のサーバーに証明機関はインストール済みですが、Active Directory 証明書サービスを役割として選択します。

f:id:mohessu:20190810143006p:plain

選択すると証明機関管理ツールの展開を促されますが、別サーバーにあることもあり、今回は管理ツールを含めるチェックボックスをオフにしておきましょう。 

f:id:mohessu:20190810143017p:plain

すると、以下のように表記が消えています。
これでMMCに証明機関が追加されないということになりますね。 

f:id:mohessu:20190810143037p:plain

Active Directory 証明書サービスにチェックが入ったことを確認し、先に進みましょう。 

f:id:mohessu:20190810143127p:plain

機能も特段追加する要素はありません。(IISの導入がされていない場合でも後ほど確認されます。)

f:id:mohessu:20190810143221p:plain

Active Directory 証明書サービスの設定にはいります。

f:id:mohessu:20190810143251p:plain

証明機関の構築時は一番上にチェックを入れましたが、今度は上から4番目の証明機関 Web登録をチェックします。

f:id:mohessu:20190810143308p:plain

インストール状況によりますが、IISが導入されていない場合は以下のメッセージが表示されます。

追加となる機能は以下の通りです。
f:id:mohessu:20190810143332p:plain

f:id:mohessu:20190810143341p:plain

問題なければ先に進みましょう。 

f:id:mohessu:20190810143405p:plain

これで設定は完了です。後はインストールの完了を待つのみとなります。 

f:id:mohessu:20190810143430p:plain

今回も10分程度でインストールは完了しました。
最近のWindowsサーバーはボタン一つで片付いていくことが多くなったので、シンプルで助かりますね。

f:id:mohessu:20190810143930p:plain

これでインストールが完了です。
続いて設定を見ていきましょう。 

f:id:mohessu:20190810144244p:plain

証明機関の時と同様に、資格情報を入力します。 

f:id:mohessu:20190810144101p:plain

インストールした役割がWeb登録のみなので、チェックできるのもWeb登録のみとなっています。

f:id:mohessu:20190810150152p:plain

Web登録を選択した場合、連動する証明機関が必要となります。
どの証明機関と連携するか選択していきます。

コンピュータ名でもCA名でもよいのですが、コンピュータ名からであれば選択が容易に行えます。

f:id:mohessu:20190810150249p:plain

設定はこれだけです。先に進んでみましょう。

f:id:mohessu:20190810150310p:plain

 5分程度で構成が完了します。

構成完了後にIISが動いていることが確認できます。

f:id:mohessu:20190810150403p:plain

この時点ではIISは暗号化されていないhttpのみが利用できる状態なので、暗号通信となるhttpsを有効化していきます。(証明書発行時はhttpsが必要となります)

IISマネージャーを開き、Default web Siteで操作からバインドを選びます。 

f:id:mohessu:20190810151112p:plain

サイトバインドが開くので追加していきましょう。 

f:id:mohessu:20190810151128p:plain

種類をhttpsに変更し、証明書を選択します。
前回の証明機関の設定が行われていれば、名前なしのサーバー証明書ドメイン参加サーバーには組み込まれているはずです。 

f:id:mohessu:20190810151158p:plain

これでhttps通信が可能となりました。 

f:id:mohessu:20190810151223p:plain

Default web Siteの下にCertSrvがあるので、ここを開き、アプリケーションの管理から*:443(https)参照を選択し、IEを起動しましょう。 

f:id:mohessu:20190810151242p:plain

このまま開くとlocalhostでの通信となり、証明書のCNとサイト名が一致しないためエラーが発生します。また、今回アクセスするサイトも未信頼なので、それらの登録を行っておきましょう。

ここでは試験のためにサーバー上でIEを開いていますが、この手順はクライアントマシンでの実施が望まれます。 

f:id:mohessu:20190810151339p:plain

 とそのまえに、証明書のCNは何だったのか確認しておきましょう。
IISマネージャーのサーバー証明書を開きます。

f:id:mohessu:20190810154843p:plain

ここで、先ほど設定した名称と同じものを探し、開いてみましょう。
全般タブの中にある発行先と書かれた部分がアクセスすべきアドレスとなります。

f:id:mohessu:20190810151855p:plain

このアドレスをイントラネットゾーンに入れておきましょう。
場合によっては信頼済みでもよいのですが、このサーバーは極力社外からアクセスさせないようにしたほうが良いかと思います。(証明書の発行依頼を行うことができるため、できる限りセキュアにしておきましょう。) 

f:id:mohessu:20190810223936p:plain

さて、これで準備が整いました。IEを使って証明書のアドレスで起動していきます。
先ほどlocalhostだった部分を証明書のアドレスに書き換えてアクセスしましょう。

f:id:mohessu:20190810224030p:plain

緑色の以下画面が出れば成功です。

これで証明書の詳細を決めていくことができるようになりました。

f:id:mohessu:20190810224240p:plain

ちなみにlocalhostのままアクセスすると以下のように証明書のエラーが表示されます。
証明機関の対応でもあるので、このまま利用しない様に注意しましょう。笑

f:id:mohessu:20190810151433p:plain

 音楽:3tops