Active Directory証明書サービス(AD CS)を使うには?
Windows Serverを認証局にしよう
2010年07月13日 06時00分更新
証明機関Web登録の構成
必要な証明書を自分で発行できるようにするには「証明機関Web登録」を構成するのが便利だ。Windows Server 2003以前と異なり、証明機関Web登録の利用にはSSLが必須となった。そのため、以下のいずれかの手順が必要になる。
(1)自己署名証明書を構成
Windows Server 2003ではIISのリソースキットに付属していた証明書作成ツールが、Windows Server 2008のIISでは標準機能となった。ただし、この方法は「信頼されないルート証明機関が発行した証明書」とみなされるため、Webブラウザが警告を出す(画面15)。広範囲に使うことはお勧めしない
画面15●ルート証明機関が信頼できない場合の警告(IE7)
(2)商用証明書を構成
インターネット上のSSLでは一般的だが、費用と時間がかかるため社内システムにはあまり使用しない
(3)プライベート証明書を利用
社内システムで一般的な証明書。社内で利用する場合、信頼性も十分あり、コストもかからない
グループポリシーを構成して取得したコンピュータ証明書は、SSLに使うこともできる。証明書がすでにインストールされている場合、SSLの構成は以下の手順で行なう。
- 管理ツールから「インターネットインフォメーションサービス(IIS)マネージャ」を起動し、Webサーバを選択して「サーバ証明書」をダブルクリック(画面16)
- コンピュータ名の証明書がインストールされていることを確認
- Webサイト(既定では「Default Web Site」)を選択して、右側のアクションペインから「バインド」リンクをクリック
- 既定ではHTTPのみが利用可能なので「追加」をクリック(画面17)
- 「種類」として「HTTPS」を選び、ポート番号が443に変わったことを確認(画面18)。インストール済みのSSL証明書を選択し「OK」をクリック
画面16●インストールされているサーバ証明書を確認
画面17●規定で「http」のみがバインド。SSLを有効にするため、「追加」をクリックする
画面18●「https」を選択し、SSL証明書を指定
以上で設定は完了だ。なお、証明書が表示されない場合は証明書のインストールに失敗している。
証明書の発行
CAのインストールが完了したら証明書を発行する。一般的なのはWebインターフェイスを利用する方法だ。
- IEで「https://CA名/certsrv/」にアクセスし、「証明書を要求する」をクリック(画面19)。
- リンク先の画面で「ユーザー証明書」を選択し、次の画面で「送信」をクリック(画面20)
- 証明書要求が行なわれるという警告に対して「はい」を選ぶ
- 証明書が発行されたら、「この証明書をインストール」リンクをクリック
- 証明書のインストールが行なわれるという警告に対して「はい」をクリック
- インストールが完了したのち、IEを閉じる
画面19●管理画面にアクセス。HTTPでは接続できないので注意したい
画面20●ユーザー証明書を送信する。エンタープライズ証明機関の場合、現在ログオン中のユーザー情報が自動的に送信されるため、特別な情報入力は不要だ
ただし、グループポリシーで自動発行された証明書はFQDNで登録されるため、2種類の問題が生じる。1つ目の問題は、証明書に登録された名前がFQDNなのに、単一ラベル名(ドメインサフィックスを含まない形式)でアクセスした場合はアドレスバーが赤く変わり警告が表示されることだ(画面21)。この問題の回避方法は以下の3つのいずれかである。
画面21●証明書に登録された名前とURLのホスト名が一致しない場合
- 警告を無視して続行(セキュリティ上の悪習慣を強制するので推奨しない)
- 単一ラベル名の証明書を取り直してSSLの構成を変更
- 常時FQDNでアクセス
2つ目の問題は、FQDNでアクセスすると「インターネットゾーン」とみなされ、ユーザー名とパスワードを入力する画面が表示されることだ。この問題の回避方法は、以下の3つのいずれかである。
- IEのインターネットゾーンのセキュリティ設定を変え、「現在のユーザー名とパスワードで自動的にログオンする」を有効にする(セキュリティリスクが高いので推奨しない)
- IEでドメイン名を「イントラネットサイト」として登録
- 単一ラベル名でアクセス
以上で、証明機関の基本的な構成が完了した。
次回は、ユーザー証明書の自動発行や自動アーカイブなど、Windows ServerとActive Directoryの便利な機能を紹介する。また、具体的な証明書の利用方法についても解説しよう。
|
本記事は、ネットワークマガジンにて掲載していた連載をまとめたものです。連載の一部は弊社刊行の書籍「Windows Serverマスターガイド」にも収録をしております。 ■Amazon.co.jpで購入
また、月刊アスキードットテクノロジーズでは、2010年3月号より本記事の執筆者である横山哲也氏による連載「Windows Server 2008 R2運用テクニック」を掲載しております。最新のWindows Serverの情報に関しましては、こちらもご覧ください。 |
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ
