無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:6.各種サーバの設定 > 6-4 WindowsCA

Windows2003サーバの認証局の設定を記載する。正直、入れるだけである。簡単。

認証局(CA)のインストール

1)「スタート」「コントロールパネル」「プログラムの追加と削除」を起動。
左側の「Windowsコンポーネントの追加と削除(A)」を選択

2)「Windowsコンポーネントウィザード」画面が起動する。
「証明書サービス」のチェックボックスにチェックを入れる。
ca1












3)CAの種類は、エンタープライズルートCAを選ぶ。
スタンドアロンよりも高度な機能があるため、エンタープライズがお勧め。
ただ、証明書を発行するだけならスタンドアロンでも可能。ADがインストールされていないと、エンタープライズは選択できなかったかもしれない。
ca2










4)次にCAの名前を入れる。ぶっちゃけ、なんでもいい。
※下の方に有効期限があるが、これは価値観にもよるが、私は長くしている。
有効期限を短くすると、期限がきたら更新処理をしなければいけない。1000人の証明書を発行したら、それだけのユーザに影響がでる。慎重に検討しよう。

ca3

5)「次へ」で進むとインストールが始まる。

これで完了。

【参考】
Windows2003サーバのCAに、WindowsVistaやWindows7の端末からアクセスすると、以下の「ActiveXコントロールをダウンロードしています」のメッセージで止まってしまうようだ。
詳しくは以下のマイクロソフトのページを参照いただきたい。
http://support.microsoft.com/?kbid=922706
certsrv








認証局にブラウザでアクセスする。
http://192.168.0.100/certsev/
※IPアドレスは、CAのIPアドレスとする。

ログインする。認証局(CA)はWindowsサーバであり、そのWindowsサーバに登録されているユーザアカウントのユーザ名とパスワードでログインする。
ca2










それほど難しくない。次々とクリックしていくだけ。
途中でセキュリティ警告などメッセージが出るが、内容を確認して「はい」を押す。
ca1













クライアント証明書なので「ユーザー証明書」をクリック
ca3








「送信」を押し、「この証明書のインストール」を押すと、インストールが完了する。
ca5








証明書の確認
ブラウザの「ツール」「インターネットオプション」「コンテンツ」タブの「証明書」をクリック
ca6













「個人」のタブに、インストールされた証明書が存在する。
※デフォルトの設定では、証明書がエクスポート可能(つまり、コピーできる)ので、証明書のテンプレートの設定にて、エクスポート不可能にするべきである。
ca7

WindowsServer2012でのサーバの認証局の設定を記載する。

①サーバマネージャから、「役割と機能の追加」を実行

②サーバーの役割の選択で、「ActiveDirectory証明書サービス」を選択。
001








③機能の選択はチェック不要、そのまま次へ

④役割サービスでは、デフォルトの「証明機関」以外に、「証明機関Web登録」にもチェックを入れておく。
001







⑤「証明機関Web登録」をチェックすると、IISも自動的にインストールしてくれる。

⑥あとは「次へ」でインストールまで完了させる。


①証明書サービスのインストールが完了すると、サーバーマネージャに展開後の構成が表示される。
「対象サーバにActiveDirectory証明書サービスを構成する」をクリック。
001








②資格情報では、Administratorが表示されているのでそのまま次へ。

③役割サービスでは、「証明機関」「証明機関Web登録」にチェック。
001






④セットアップの種類では、「エンタープライズCA」を選択。


⑤秘密キーは「新しい秘密キーを作成する」を選択。

⑥暗号化オプションはそのままでもOKだが、SHA256以上にしておくことを薦める。
SHA1の危殆化によって、世間的にはSHA256以上が推奨となっているからだ。
005














⑦CAの名前は重要。これが認証局の名前になるからである。
自社名など、わかりやすい名前をつけておこう。
006












⑧有効期間はデフォルト5年。必要なら変更しておく。
長めにしておくほうが運用上楽だろう。
007






⑨データベースの場所はそのままでOK。

⑩最後に設定内容一覧が出てくるので、内容を確認して「構成」を押す。

「証明機関Web登録」をインストールすると、ブラウザから証明書がダウンロードできる。しかし、デフォルトではセキュリティ的に問題がある。HTTPのみしか設定されていないからだ。そこで、IISをHTTPSにアクセスできるように設定する。

①IISマネージャを起動し、DefaultWebSiteを右クリックし、「バインドの編集」を選択する。


②サイトバインドで「追加」をクリックする。





続きを読む

PEAP、EAP-TLSいずれの場合でも、クライアント(サプリカント)にはCA証明書が必要である。
RADIUSサーバの公開鍵についている署名を、CA証明書の公開鍵で検証するからだ。

CAを立てた後、クライアントでCA公開鍵を取得する方法を説明する。

①ブラウザでCAのURL(https://IPアドレス/certsrv)にアクセスする
認証画面が出るので、ADのアカウント名でログインする。
名称未設定 1









②「CA証明書、証明書チェーン、またはCRLのダウンロード」をクリック。
名称未設定 1














③確認画面が出るので、「はい」をクリック。
④CA証明書を選択して、「CA証明書のダウンロード」をクリック。
名称未設定 1






















⑤ダウンロードしたファイルを開いて、「証明書のインストール」をクリック。
名称未設定 1

















⑥「証明書をすべて次のストアに配置する」を選択し、「信頼されたルート証明機関」を選択する。
名称未設定 1










⑦そのまま進むと、インストール完了。
途中で出てくる警告なども、きちんと目を通しておくとよい。

⑧IEの「ツール」→「インターネットオプション」→コンテンツタブ→証明書→信頼されたルート証明機関で、インポートしたCA証明書があることを確認する。
名称未設定 1

このページのトップヘ