6-3(1) 認証局の構築(Windows2003) ①インストール

Windows2003サーバの認証局の設定を記載する。正直、入れるだけである。簡単。

認証局(CA)のインストール

1)「スタート」「コントロールパネル」「プログラムの追加と削除」を起動。
左側の「Windowsコンポーネントの追加と削除(A)」を選択

2)「Windowsコンポーネントウィザード」画面が起動する。
「証明書サービス」のチェックボックスにチェックを入れる。
ca1

3)CAの種類は、エンタープライズルートCAを選ぶ。
スタンドアロンよりも高度な機能があるため、エンタープライズがお勧め。
ただ、証明書を発行するだけならスタンドアロンでも可能。ADがインストールされていないと、エンタープライズは選択できなかったかもしれない。
ca2

4)次にCAの名前を入れる。ぶっちゃけ、なんでもいい。
※下の方に有効期限があるが、これは価値観にもよるが、私は長くしている。
有効期限を短くすると、期限がきたら更新処理をしなければいけない。1000人の証明書を発行したら、それだけのユーザに影響がでる。慎重に検討しよう。

ca3

5)「次へ」で進むとインストールが始まる。

これで完了。

6-3(3) 認証局の構築(Windows2003) ③クライアント証明書のインストール

【参考】
Windows2003サーバのCAに、WindowsVistaやWindows7の端末からアクセスすると、以下の「ActiveXコントロールをダウンロードしています」のメッセージで止まってしまうようだ。
詳しくは以下のマイクロソフトのページを参照いただきたい。
http://support.microsoft.com/?kbid=922706
certsrv

認証局にブラウザでアクセスする。
http://192.168.0.100/certsev/
※IPアドレスは、CAのIPアドレスとする。

ログインする。認証局(CA)はWindowsサーバであり、そのWindowsサーバに登録されているユーザアカウントのユーザ名とパスワードでログインする。
ca2

それほど難しくない。次々とクリックしていくだけ。
途中でセキュリティ警告などメッセージが出るが、内容を確認して「はい」を押す。
ca1

クライアント証明書なので「ユーザー証明書」をクリック
ca3

「送信」を押し、「この証明書のインストール」を押すと、インストールが完了する。
ca5

証明書の確認
ブラウザの「ツール」「インターネットオプション」「コンテンツ」タブの「証明書」をクリック
ca6

「個人」のタブに、インストールされた証明書が存在する。
※デフォルトの設定では、証明書がエクスポート可能(つまり、コピーできる)ので、証明書のテンプレートの設定にて、エクスポート不可能にするべきである。
ca7

6-3(3) 認証局の構築(WindowsServer2012) ①インストール

WindowsServer2012でのサーバの認証局の設定を記載する。

①サーバマネージャから、「役割と機能の追加」を実行

②サーバーの役割の選択で、「ActiveDirectory証明書サービス」を選択。
001

③機能の選択はチェック不要、そのまま次へ

④役割サービスでは、デフォルトの「証明機関」以外に、「証明機関Web登録」にもチェックを入れておく。
001

⑤「証明機関Web登録」をチェックすると、IISも自動的にインストールしてくれる。

⑥あとは「次へ」でインストールまで完了させる。

6-3(4) 認証局の構築(WindowsServer2012) ②構成

①証明書サービスのインストールが完了すると、サーバーマネージャに展開後の構成が表示される。
「対象サーバにActiveDirectory証明書サービスを構成する」をクリック。
001

②資格情報では、Administratorが表示されているのでそのまま次へ。

③役割サービスでは、「証明機関」「証明機関Web登録」にチェック。
001

④セットアップの種類では、「エンタープライズCA」を選択。

⑤秘密キーは「新しい秘密キーを作成する」を選択。

⑥暗号化オプションはそのままでもOKだが、SHA256以上にしておくことを薦める。
SHA1の危殆化によって、世間的にはSHA256以上が推奨となっているからだ。
005

⑦CAの名前は重要。これが認証局の名前になるからである。
自社名など、わかりやすい名前をつけておこう。
006

⑧有効期間はデフォルト5年。必要なら変更しておく。
長めにしておくほうが運用上楽だろう。
007

⑨データベースの場所はそのままでOK。

⑩最後に設定内容一覧が出てくるので、内容を確認して「構成」を押す。

6-3(5) 認証局の構築(WindowsServer2012) ③IISの設定

「証明機関Web登録」をインストールすると、ブラウザから証明書がダウンロードできる。しかし、デフォルトではセキュリティ的に問題がある。HTTPのみしか設定されていないからだ。そこで、IISをHTTPSにアクセスできるように設定する。

①IISマネージャを起動し、DefaultWebSiteを右クリックし、「バインドの編集」を選択する。

②サイトバインドで「追加」をクリックする。

“6-3(5) 認証局の構築(WindowsServer2012) ③IISの設定” の続きを読む

6-3(6) CA証明書の取得方法

PEAP、EAP-TLSいずれの場合でも、クライアント(サプリカント)にはCA証明書が必要である。
RADIUSサーバの公開鍵についている署名を、CA証明書の公開鍵で検証するからだ。

CAを立てた後、クライアントでCA公開鍵を取得する方法を説明する。

①ブラウザでCAのURL(https://IPアドレス/certsrv)にアクセスする
認証画面が出るので、ADのアカウント名でログインする。
名称未設定 1

②「CA証明書、証明書チェーン、またはCRLのダウンロード」をクリック。
名称未設定 1

③確認画面が出るので、「はい」をクリック。
④CA証明書を選択して、「CA証明書のダウンロード」をクリック。
名称未設定 1

⑤ダウンロードしたファイルを開いて、「証明書のインストール」をクリック。
名称未設定 1

⑥「証明書をすべて次のストアに配置する」を選択し、「信頼されたルート証明機関」を選択する。
名称未設定 1

⑦そのまま進むと、インストール完了。
途中で出てくる警告なども、きちんと目を通しておくとよい。

⑧IEの「ツール」→「インターネットオプション」→コンテンツタブ→証明書→信頼されたルート証明機関で、インポートしたCA証明書があることを確認する。
名称未設定 1