Windows Server ADCSの証明書自動配布設定

ADCSですが、前回まででインストールと設定が完了しました。

次にActive Directoryを介して自動的に証明書を配布できるところまで設定していきましょう。

これには、テンプレートの作成とGPOの設定を組み合わせて対応する形となります。

まずは 証明機関設定ツールを開きます。
サーバーマネージャーのツールより証明機関を選びましょう。

f:id:mohessu:20190804011619p:plain

証明機関ツールを起動したら、まずはCAのバックアップを行いましょう。
ルート証明書が壊れると、今後作成するすべての証明書に影響が及びます。
複数場所への保管、オフライン保管なども含めて証明書の秘密キーは無くさないように管理していくことが重要です。 

f:id:mohessu:20190804011715p:plain

証明書のバックアップはウィザードを進めていくだけで終わるので、そんなに難しくはありません。 

f:id:mohessu:20190804011738p:plain

バックアップ対象は秘密キーと証明書データベース、ログの全項目を選んでおきます。

バックアップの場所は、からのフォルダを指定してあげる必要があります。

f:id:mohessu:20190804011834p:plain

証明書バックアップも、むやみやたらに触られないように暗号が行われます。
この暗号キーも忘れないように管理しましょう。

f:id:mohessu:20190804011859p:plain

ここまでの設定でバックアップは完了となります。 

f:id:mohessu:20190804011912p:plain

バックアップフォルダーに秘密キーとデータベースが存在することを念のため確認しておきましょう。 

f:id:mohessu:20190804011934p:plain

続いて証明書の初期設定を行っておきます。
CRLとAIAの指定です。
これらを指定しておくと証明書の失効を指定した場所から確認してくれるため、外部からアクセス可能な場所を選択するのが重要です。AIAは親となる認証局の証明書がほしいときにどこに行けば入手できるのかを設定しておく形です。

証明機関ツールのプロパティを開きます。 

f:id:mohessu:20190804012934p:plain

プロパティ内、拡張機能を選択し、CRL配布ポイントをまず設定します。
ファイルサーバーやLDAP、HTTPなどが設定されていますが、ユーザーがアクセス可能な場所となるように調整していきましょう。

f:id:mohessu:20190804013017p:plain

AIAも同様に指定が必要となるので、CRL配布ポイントと同様に設定していってください。

f:id:mohessu:20190804013035p:plain

続いて、証明書を自動的に作成、更新できるようにGPOの設定を変更します。

グループポリシー管理エディターをひらき、コンピューターの構成-ポリシー-Windowsの設定-セキュリティの設定- 公開キーのポリシーから証明書サービス クライアント - 自動登録を選択します。

f:id:mohessu:20190804013850p:plain

この項目を有効に設定し、2つのチェックボックスにチェックを入れておきましょう。

f:id:mohessu:20190804013918p:plain

 ユーザーの構成にも同様の項目があるので、こちらも設定しておきます。

f:id:mohessu:20190804014003p:plain

一番下にユーザー通知の項がありますが、これは有効期限が近付いた際に通知をしなくても良ければ設定しなくてもよさそうです。 

f:id:mohessu:20190804014026p:plain

続いて自動配布用の管理テンプレートを追加していきます。

証明機関ツールを起動し、証明書サーバーの中にある証明書テンプレートを右クリックして管理を押しましょう。

f:id:mohessu:20190804012519p:plain

管理テンプレートのコンソールが開くのですが、この中からユーザーを探し、テンプレートの複製を行いましょう。

f:id:mohessu:20190804023316p:plain

するとプロパティが開くので、様々な設定を行っていきます。
まずは互換性。
ここは2003互換でよさそうです。

f:id:mohessu:20190804023346p:plain

全般ではテンプレート名を設定します。
わかりやすい名前を付けてあげましょう。
そして、Active Directoryの証明書を発行するにチェックを入れておきます。
その下のチェックも入れておきましょう。これを設定することで自動配布の対象にできるようになるのですね。

f:id:mohessu:20190804023550p:plain

セキュリティのタブも重要です。
このタブにグループを追加し読み取りと自動登録に許可チェックすることで対象グループに属するユーザーに証明書が配布されるようになります。

f:id:mohessu:20190804023453p:plain

サブジェクト名の内容もチェックしておきましょう。

特に電子メールを含めるチェックを入れている場合、AD内にメールアドレスが存在しないとエラーとなり証明書が発行されないので注意です。

f:id:mohessu:20190804023640p:plain

これで証明書テンプレートが作成できました。
これを有効な状態にするために、証明機関ツールの証明書テンプレートから新規作成を襲ていきます。 

f:id:mohessu:20190804023803p:plain

先ほど作ったテンプレートを指定します。

f:id:mohessu:20190804023821p:plain

こうすることで、テンプレート一覧に先ほど作成したテンプレートが表示されますね。 

f:id:mohessu:20190804023844p:plain

続いてコンピューター向けのテンプレートも同じように作成しましょう。

f:id:mohessu:20190804024148p:plain

コンピューター向けも大体同じ設定となるのですが、メールアドレスなどの考え方がなくなっています。 

f:id:mohessu:20190804024240p:plain

コンピューターにはメールアドレスは無いので当然ですが、下記のようになっていればよいです。 

f:id:mohessu:20190804024258p:plain

これもコンピューターに設定されるようにDomain Computersのグループに自動登録設定を行いましょう。 

f:id:mohessu:20190804024323p:plain

先ほどと同様に設定して、設定は完了です。

f:id:mohessu:20190804024408p:plain

両方設定すると、こんな感じに。

f:id:mohessu:20190804024426p:plain

先ほど作成したGPOですが、コンピューターおよびユーザーに設定されるように適用を忘れないようにしましょう。

適用後は時間を待つか、gpupdateをクライアント側で行うことで証明書が作成されます。

Active Directoryとコンピューターのツールでの拡張設定をチェックしておくことで、ユーザーに公開された証明書タブが 追加され、そこに証明書が発行されたことが表示されます。

f:id:mohessu:20190804030106p:plain

また、コンピューターの場合は属性エディターでuserCertificateの項目に情報が入っていれば登録されていることとなります。

f:id:mohessu:20190804030046p:plain

それぞれ証明機関ツールでは発行した証明書の欄に記されますので、こちらも見てみるとよいでしょう。 

f:id:mohessu:20190804030151p:plain

以上で証明書の自動発行が行われるようになったはずです。

手順が少し複雑ですが、PKIはいろいろなところで利用されるため、ぜひ覚えておくとよいかと思います。 

音楽:White Falcon