ADCSをEnterpriseモードで利用中の環境では、証明書の発行を半ば自動化することができます。
今回は、自動化した中でWebサーバーに適用するまでの手法を確認していきたいと思います。
Webサーバーに限らず、Windows系サーバーでは証明書の要求を行うためにIISマネージャーが必要となります。ドメイン証明書の作成は自動的に取り込みまで実施されますが、要求のみの作成もできるのでWindowsサーバー群のどこかにはIISマネージャーを用意しておくことをお勧めします。
IISマネージャーですが、サーバーを選択しサーバー証明書の項を開きましょう。
右側の操作項目に、証明書要求の作成、ドメイン証明書の作成などの項目があります。
今回はドメイン証明書の作成を押してみましょう。
証明書を作成する際に必要となる項目を入れていきましょう。
Webサーバーとして利用する際に特に重要な要素は一般名です。
一般名と訳されるとわかりにくいですが、Common Name、CNです。
この名前とURLのホスト名が一致している必要があります。
ドメイン証明書の作成では最低限の項目のみ記せばよく、代替名などの要素は利用できません。そういったものが必要になる場合は要求を作成し、Web登録画面から設定していく必要があります。
そのほかの項目は証明書の住所のようなものですね。
組織名や発行者の部署、所在地などを入力していきます。
続いてこのリクエストをどの証明機関に送付するかを決定します。
Active Directory内のADCSを選択することが可能です。
ADCSサーバーをたくさん用意していればおそらく複数表示されるのかと思いますが、私の環境では1件のみの表示となっていました。
最後に表示名となるフレンドリ名を入力して完了となります。
終了するとすぐにサーバー証明書が発行され、一覧に表記が現れます。
証明書の考え方は、如何に発行先が信頼できるか。なのですが、社内認証を通って設定されたドメイン参加サーバーですから信頼度は抜群です。こういった考え方は理にかなっているのでADの良い利用方法のひとつですね。
音楽:i do