無線LANのメリットや運用の注意点、電波や規格などの用語、要件定義や基本設計から
設定・構築・テストにいたるまで、たくさんのことをまとめています。
さらに、Arubaの機器を中心とした無線LANの設計と設定を解かりやすく解説しています。

カテゴリ:6.各種サーバの設定 > 6-7 ADによる証明書の自動配布

 ユーザ数が多くなると、EAP-TLS用のクライアント証明書を配布するのは大変な作業である。そこで、WindowsServer2012のActiveDirectory(AD)を利用して、クライアント証明書(ユーザ証明書)を自動的に配布する仕組みを紹介する。

前提条件:
・WindowsServer2012で、ActiveDirectoryの設定が終わっていること
・WindowsServer2012で、証明機関のインストール構成が終わっていること。

(1)「管理ツール」から「証明機関」を起動
000















(2)証明書テンプレートを作成する。
左ペインから「証明書テンプレート」を右クリックして「管理」を選択
001














テンプレート「ユーザ」を右クリックし、「テンプレートの複製」を選択。
002














「ユーザ」テンプレートを複製し、ユーザに証明書を自動配布するテンプレートを作成する。

証明書テンプレートのプロパティが表示される。互換性はデフォルトでよい。
特にWindowsXPなどが残っている場合に下位互換性が確保できるからだ。
003

































「全般」タブを開き、テンプレート名を変更する。ここでは、「ユーザ証明書の自動発行」としておく。
「有効期間」は証明書の有効期間、「更新期間」は有効期限が切れるどのくらい前に更新を行うかの設定である。
005
































「要求処理」タブでは、秘密キーのエクスポート(取り出し)のチェックをはずしておこう。
秘密キー(秘密鍵)が第三者に漏れてしまうと、なりすましができてしまうからだ。
007
































「サブジェクト名」タブでは、「サブジェクト名に電子メール名を含める」と「電子メール名」のチェックをはずしておく。ADで電子メールアドレスが登録されていないと、証明書の自動発行が失敗してしまうからだ。
009
































「セキュリティ」タブで、「Domain Users」に読み取りの許可と自動登録の許可を与える。
この設定を行うことで、Domain Users、つまりADの全ユーザがこのポリシーを使った証明書の自動発行の許可を受ける。
011































ここまでの設定が終わったら、「適用」「OK」を押して保存する。

(3)証明書テンプレートの発行
 ここでは(2)で作った証明書テンプレートを発行(有効化)する。

「証明機関」の「証明書テンプレート」を右クリックし、「新規作成」「発行する証明書テンプレート」を選択する。
012















「証明書テンプレートの選択」で、(2)で作成したテンプレート(ここでは、「ユーザ証明書の自動発行」)を選択し、「OK」を押す
013

















「証明機関」の「証明書テンプレート」で、「ユーザ証明書の自動発行」のテンプレートが表示されるのを確認。
014

















証明書テンプレートの作業はここまでである。

(4)グループポリシーオブジェクト(GPO)の割り当て
証明書テンプレートの作成だけでは、まだ証明書の自動配布はできない。自動配布を行うADのオブジェクト(ドメイン全体、OU、サイトなど)に対して、GPOを使って証明書自動配布のポリシーを割り当てる必要がある。

「管理ツール」から「グループポリシーの管理」を起動する。
015
















GPOを割り当てるオブジェクト(ここではドメイン全体)で右クリックし、「このXXにGPOを作成し、このコンテナーにリンクする」を選択する。
016


















GPO名を入力する。ここでは「ユーザ証明書の自動配布」とする。
017











「グループポリシーの管理」ツールで、先ほど作ったGPOが表示されるので、右クリックして「編集」を選択する。
018


















「グループポリシー管理エディタ」で、「ユーザの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」を選択する。
右ペインに「証明書サービスクライアント」が出てくるので、ダブルクリックする。
019


















構成モデルを「未構成」から「有効」に変更し
・有効期限が切れた証明書を書き換え、保留中の証明書を更新、および執行した証明書を削除する
・証明書テンプレートを使用する証明書を更新する
の2つにチェックを入れる
021





























適用を押して、設定は完了である。
コマンドラインを起動し「gpupdate」コマンドを実行しておく。このコマンドで、GPOはドメインに即時反映される。

(5)確認方法
クライアントPCでActiveDirectoryにログオンし、「certmgr.msc」(証明書管理ツール)を確認する。
ユーザ証明書が発行できていれば、「個人」のところに証明書があるはずだ。
025














また、サーバ側の「証明機関」管理ツールの、「発行した証明書」のところにも、発行したユーザ証明書が表示されているはずである。
023


















もしうまく発行できない場合、イベントビューアで確認すると失敗の理由が表示されていることもある。

ActiveDirectoryを使えば、RADIUSサーバ(NPS)の証明書も自動配布ができる。
ユーザ証明書の自動配布と、基本的な設定手順は同じである。

必要な作業は主に2つ。
1. RADIUSサーバ用の証明書テンプレートを作成する
  (→自動登録の要求があったときに、どのように発行するかのポリシー)
2.グループポリシーオブジェクト(GTO)で、「証明書サービスクライアントの自動登録」を設定する
  (→サーバに、証明書の自動登録を促すための設定)
である。

証明書テンプレートの作成から説明する。

管理ツールから、「証明機関」を起動し、「証明書テンプレート」を右クリック、「管理」を選択する。
007



















テンプレートから「RASおよびIASサーバー」を探し、右クリック「テンプレートの複製」を選択。
008











プロパティが表示されるので、「全般」タブで名前を決める。ここでは「RADIUSサーバ自動発行」とする。
「ActiveDirectoryの証明書を発行する」にチェックを入れる。
009

































「セキュリティ」タブで、「RAS and IAS Servers」を選択し、「読み取り」「自動登録」をチェックする。
NPSサーバは自動的に「RAS and IAS Servers」グループに登録されるため、この設定によってNPSサーバ(RADIUSサーバ)が証明書を自動登録できるようになる。設定したら「OK」を押す。
010

































証明書テンプレートに、先ほど追加したテンプレートが表示されていることを確認して、閉じる。
011












「証明機関」ツールの「証明書テンプレート」を右クリックし、「新規作成」→「発行する証明書テンプレート」を選択する。
012














作成した証明書テンプレートを選択し、「OK」
013

















証明書テンプレートに追加されたことを確認する。「証明機関」ツールの作業はこれで完了。
014



















次は、グループポリシーの設定である。
「管理ツール」から「グループ ポリシーの管理」を起動する。
今回はドメイン全体に適用させるので、ドメイン名を右クリックして「このドメインにGPOを作成し、このコンテナーにリンクする」を選択する。
(もちろん、RADIUSサーバ用のOUを作成し、そこに適用してもよい。)
001

















GPO名を設定する。ここでは、「コンピュータ証明書の自動配布」とする。
002











作成したポリシーを右クリックし、「編集」を選択。
003


















「コンピュータの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」から「証明書サービスクライアント-自動登録」を右クリック、「プロパティ」を選択。
004

















「構成モデル」を「未構成」から「有効」に変更する。「有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する」と「証明書テンプレートを使用する証明書を更新する」にチェックし、「OK」。
006






























これでGPOの設定が完了である。コマンドラインから「gpupdate」を実行し、グループポリシーををADに即時反映させる。


この設定が終われば、RADIUSサーバ(NPS)は自動的に証明書を取得する。
取得した証明書の確認方法は次のとおり。

(1)「証明機関」管理ツールの「発行した証明書」で確認する。
(2)RADIUSサーバのMMCで確認する。

mmc.exeを起動する。(デスクトップの検索メニューで「mmc」アプリを検索すると出てくる)
「ファイル」から「スナップインの追加と削除」を選択。
021














「利用できるスナップイン」から「証明書」を追加する。
022


















このスナップインで管理する証明書で「コンピュータアカウント」を選択。
023



















管理するコンピュータは「このコンピューター」を選択。
024



















コンソールルートに、「証明書(ローカルコンピュータ)」が表示されるので、「個人」→「証明書」を手繰っていくと、RADIUSサーバに発行された証明書を確認できる。
025

































このページのトップヘ