ADCSですが、前回まででインストールと設定が完了しました。
次にActive Directoryを介して自動的に証明書を配布できるところまで設定していきましょう。
これには、テンプレートの作成とGPOの設定を組み合わせて対応する形となります。
まずは 証明機関設定ツールを開きます。
サーバーマネージャーのツールより証明機関を選びましょう。
証明機関ツールを起動したら、まずはCAのバックアップを行いましょう。
ルート証明書が壊れると、今後作成するすべての証明書に影響が及びます。
複数場所への保管、オフライン保管なども含めて証明書の秘密キーは無くさないように管理していくことが重要です。
証明書のバックアップはウィザードを進めていくだけで終わるので、そんなに難しくはありません。
バックアップ対象は秘密キーと証明書データベース、ログの全項目を選んでおきます。
バックアップの場所は、からのフォルダを指定してあげる必要があります。
証明書バックアップも、むやみやたらに触られないように暗号が行われます。
この暗号キーも忘れないように管理しましょう。
ここまでの設定でバックアップは完了となります。
バックアップフォルダーに秘密キーとデータベースが存在することを念のため確認しておきましょう。
続いて証明書の初期設定を行っておきます。
CRLとAIAの指定です。
これらを指定しておくと証明書の失効を指定した場所から確認してくれるため、外部からアクセス可能な場所を選択するのが重要です。AIAは親となる認証局の証明書がほしいときにどこに行けば入手できるのかを設定しておく形です。
証明機関ツールのプロパティを開きます。
プロパティ内、拡張機能を選択し、CRL配布ポイントをまず設定します。
ファイルサーバーやLDAP、HTTPなどが設定されていますが、ユーザーがアクセス可能な場所となるように調整していきましょう。
AIAも同様に指定が必要となるので、CRL配布ポイントと同様に設定していってください。
続いて、証明書を自動的に作成、更新できるようにGPOの設定を変更します。
グループポリシー管理エディターをひらき、コンピューターの構成-ポリシー-Windowsの設定-セキュリティの設定- 公開キーのポリシーから証明書サービス クライアント - 自動登録を選択します。
この項目を有効に設定し、2つのチェックボックスにチェックを入れておきましょう。
ユーザーの構成にも同様の項目があるので、こちらも設定しておきます。
一番下にユーザー通知の項がありますが、これは有効期限が近付いた際に通知をしなくても良ければ設定しなくてもよさそうです。
続いて自動配布用の管理テンプレートを追加していきます。
証明機関ツールを起動し、証明書サーバーの中にある証明書テンプレートを右クリックして管理を押しましょう。
管理テンプレートのコンソールが開くのですが、この中からユーザーを探し、テンプレートの複製を行いましょう。
するとプロパティが開くので、様々な設定を行っていきます。
まずは互換性。
ここは2003互換でよさそうです。
全般ではテンプレート名を設定します。
わかりやすい名前を付けてあげましょう。
そして、Active Directoryの証明書を発行するにチェックを入れておきます。
その下のチェックも入れておきましょう。これを設定することで自動配布の対象にできるようになるのですね。
セキュリティのタブも重要です。
このタブにグループを追加し読み取りと自動登録に許可チェックすることで対象グループに属するユーザーに証明書が配布されるようになります。
サブジェクト名の内容もチェックしておきましょう。
特に電子メールを含めるチェックを入れている場合、AD内にメールアドレスが存在しないとエラーとなり証明書が発行されないので注意です。
これで証明書テンプレートが作成できました。
これを有効な状態にするために、証明機関ツールの証明書テンプレートから新規作成を襲ていきます。
先ほど作ったテンプレートを指定します。
こうすることで、テンプレート一覧に先ほど作成したテンプレートが表示されますね。
続いてコンピューター向けのテンプレートも同じように作成しましょう。
コンピューター向けも大体同じ設定となるのですが、メールアドレスなどの考え方がなくなっています。
コンピューターにはメールアドレスは無いので当然ですが、下記のようになっていればよいです。
これもコンピューターに設定されるようにDomain Computersのグループに自動登録設定を行いましょう。
先ほどと同様に設定して、設定は完了です。
両方設定すると、こんな感じに。
先ほど作成したGPOですが、コンピューターおよびユーザーに設定されるように適用を忘れないようにしましょう。
適用後は時間を待つか、gpupdateをクライアント側で行うことで証明書が作成されます。
Active Directoryとコンピューターのツールでの拡張設定をチェックしておくことで、ユーザーに公開された証明書タブが 追加され、そこに証明書が発行されたことが表示されます。
また、コンピューターの場合は属性エディターでuserCertificateの項目に情報が入っていれば登録されていることとなります。
それぞれ証明機関ツールでは発行した証明書の欄に記されますので、こちらも見てみるとよいでしょう。
以上で証明書の自動発行が行われるようになったはずです。
手順が少し複雑ですが、PKIはいろいろなところで利用されるため、ぜひ覚えておくとよいかと思います。
音楽:White Falcon