AD でドメイン内での認証

更新日 2018-01-08 (月) 08:42:11

Windowsサーバ上に認証局を作成、ドメイン内ではこの認証局を利用することができる。 ドメイン内では、発行元が保障される。(ルート証明書がドメイン内では自動でクライアントに登録される)

WebサーバからはCSRを作成し、認証局にWebアプリで送ることで、署名入りのサーバ証明書を発行することがでできる。(証明機関Web登録)

これでドメイン内では認証機関のサイン入(身元保証)でSSL通信が利用できる

作成手順

以下の手順で利用できるようになる

認証局はドメインに1つあれば後はそこからサーバ証明書を認証できる。

 ---------------------------------------------
 | 1. Windows Server(DC) に CA局を作成       |
 |     エンタープライズCAを作成              |
 |     (DCに入れ自動配布する)
 |   (CA1-CA14)                              |
 ---------------------------------------------
                |
                |
 ---------------------------------------------
 | 2. ルート証明書のエクスポート             |
 |   (root_cert_ex1-root_cert_ex8)           |
 ---------------------------------------------
 (DCにCA局を作成したので2.は不要)
                |
                |
 ---------------------------------------------
 | 3.ルート証明書をDCインストール            |
 |   DCの証明書はグループポリシーの構成を    |
 | 行なわなくても、自動的に配布される。     |
 |   (他のサーバの場合はグループポリシー     |
 |    で配布を構成)                          |
 |   (Gpolicy_inport1-Gpolicy_inport11)      |
 ---------------------------------------------
 (DCにCA局を作成したのでグループポリシーは不要)
                |
                |
 --------------------------------------------
 | 4. 証明機関Web登録の構成                 |
 |   サーバからCSRをWeb上で受け付け、       |
 |   サーバ証明書を発行するWeb APP          |
 |   (役割でインストールを指定している      |
 |    ので特に操作不要 CA3)                 |
 |   https://(CAサーバ)/certsrv/ ができる   |
 --------------------------------------------
                |
                |
   (ここからはサーバ証明書が必要なサーバで行う)
 --------------------------------------------
 | 5. サーバ証明書を要求のための CSRを作成   |
 |    (証明書要求1-証明書要求11)             |
 --------------------------------------------
                |
                |
 --------------------------------------------
 | 6. サーバ証明書を要求取得しIISに登録     |
 |   証明機関Web登録ページにアクセスし      |
 |   サーバ証明書を取得し、IISに登録し、    |
 |   サイトにバインドする                   |
 |  https://(CAサーバ)/certsrv/ にアクセス  |
 |    (証明書要求12-証明書要求14)           |
 --------------------------------------------

ドメインコントローラの証明書はグループポリシーの構成を行なわなくても、自動的に配布される。ドメインコントロール以外の認証局はルート証明機関をグループPolicyで配布する。

認証機関

CA作成をDC上で行う

CAをインストール

サーバの役割

  • 証明機関
  • 証明機関Web登録(サーバ証明書発行Tool)

CA1.png

CA2.png

CA3.png

CA4.png

CA5.png

CA6.png

CA7.png

CA8.png

CA9.png

CA10.png

CA11.png

CA12.png

CA13.png

CA14.png

サーバ証明書要求

WebサーバのIISマネージャで作業

CSR作成

証明書要求1.png

証明書要求2.png

  • 一般名には「コモンネーム―証明を利用するホスト名」(xxx.ism21.net)を記入する
  • コモンネームを「*.vmw.ism21.net」ようにするとマルチドメイン対応になる

証明書要求3.png

証明書要求4.png

証明書要求5.png

CSRからサーバ証明書要求

証明機関Web登録(サーバ証明書発行Tool)しているので以下にアクセスすればサーバ認証を要求できる。

  • httpsでアクセスできないときは以下ように証明書サーバのIISマネージャでhttpsをバインドする。 証明書要求6-0.png

証明書要求6.png

証明書要求7.png

証明書要求8.png

証明書要求9.png

証明書要求10.png

  • 証明書要求ファイルの確認(Linux)
$ openssl req -text -noout -in c-dctest.txt
Certificate Request:
    Data:
        Version: 0 (0x0)
        Subject: C=JP, ST=Mie, L=Ise, O=ISM21, OU=ISM21, CN=*.vmw.ism21.net ←コモンネーム
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:b0:ec:76:92:3d:96:59:d5:de:c6:a9:2f:a2:3b:
                    d3:79:3b:e2:28:f2:8a:de:ca:48:ff:4e:bf:a2:1a:

以下略
  • 署名後のファイルの確認
$ openssl x509 -text -noout -in c-dctest.cer
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            32:00:00:00:13:c9:88:98:e9:af:a6:19:4c:00:00:00:00:00:13
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: DC=net, DC=ism21, DC=vmw, CN=vmw-ism21-CA2 ←第三期間発行者
        Validity
            Not Before: Jan  7 09:32:20 2018 GMT
            Not After : Jan  7 09:32:20 2020 GMT
        Subject: C=JP, ST=Mie, L=Ise, O=ISM21, OU=ISM21, CN=*.vmw.ism21.net  ←コモンネーム
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:b0:ec:76:92:3d:96:59:d5:de:c6:a9:2f:a2:3b:
                    d3:79:3b:e2:28:f2:8a:de:ca:48:ff:4e:bf:a2:1a:
                    77:00:19:f0:6f:44:4f:fd:ca:d0:c5:7d:be:15:52:
(略)
            X509v3 CRL Distribution Points:
                URI:ldap:///CN=vmw-ism21-CA2,CN=win2012r2-fsmo,CN=CDP,\
CN=Public %20Key%20Services,CN=Services,CN=Configuration,DC=vmw,DC=ism21,\
DC=net?certifica teRevocationList?base?objectClass=cRLDistributionPoint

            Authority Information Access:
                CA Issuers - URI:ldap:///CN=vmw-ism21-CA2,CN=AIA,\
CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=vmw,DC=ism21,\
DC=net?cACertificate?base?objectClass=certificationAuthority


以下略

IISにインポート

証明書要求11.png

証明書要求12.png

証明書要求13.png

サイトにバインド

証明書要求14.png

確認

  • ブラウザで確認

IISで確認.png

CA証明書配布.png

FSMOに証明書発行用IISサーバにマルチドメイン証明書を入れる

別サーバにすでにマルチドメイン証明書(コモンの証明書)が入っているので、これをエクスポートして、FSMOサーバにインポートする

  • 証明書エクスポート

証明書エクスポート.png

  • 証明書インポートとバインド

証明書インポート1.png

証明書インポート2.png

参考


添付ファイル: file証明書エクスポート.png 83件 [詳細] file証明書インポート2.png 69件 [詳細] file証明書インポート1.png 82件 [詳細] fileIISで確認.png 87件 [詳細] file証明書要求6-0.png 69件 [詳細] file証明書要求14.png 116件 [詳細] file証明書要求13.png 112件 [詳細] file証明書要求12.png 106件 [詳細] file証明書要求11.png 109件 [詳細] file証明書要求10.png 105件 [詳細] file証明書要求9.png 120件 [詳細] file証明書要求8.png 123件 [詳細] file証明書要求7.png 104件 [詳細] file証明書要求6.png 109件 [詳細] file証明書要求5.png 109件 [詳細] file証明書要求4.png 114件 [詳細] file証明書要求3.png 115件 [詳細] file証明書要求2.png 123件 [詳細] file証明書要求1.png 107件 [詳細] fileCA証明書配布.png 103件 [詳細] fileCA14.png 124件 [詳細] fileCA13.png 107件 [詳細] fileCA12.png 112件 [詳細] fileCA11.png 115件 [詳細] fileCA10.png 109件 [詳細] fileCA9.png 111件 [詳細] fileCA8.png 105件 [詳細] fileCA7.png 109件 [詳細] fileCA6.png 114件 [詳細] fileCA5.png 108件 [詳細] fileCA4.png 101件 [詳細] fileCA3.png 121件 [詳細] fileCA2.png 110件 [詳細] fileCA1.png 103件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-01-08 (月) 08:42:11 (682d)