Windows Server 2016 証明機関の構築

どうも、Miyaです(´_ゝ`)

前回は、証明機関の概要をご説明しました。
今回は、Windows Server 2016を使って、プライベートCAを作ってみましょう。
構成は以下の通りです。
CA

後ほど説明しますが、ドメイン内のメンバーであるサーバーにCAの役割を持たせて、エンタープライズCAにします。
そうすることで、メンバーコンピュータの証明書ストアに対してルートCAを配布することが出来ます。

スポンサーリンク:

CAサーバーの構築

まずはWindows Serverに証明機関の役割をインストールしましょう。
[役割と機能の追加]から[Active Directory 証明書サービス]にチェックを入れましょう。
CA

進めていくと、役割サービスの選択画面に行きつきます。
ドメインに参加していないコンピュータも証明書が発行できるように、[証明機関WEB登録]にチェックを入れましょう。
CA

サーバーマネージャーに通知が来るので、[….証明書サービスを構成する]をクリックします。
CA

ドメインのAdministrator権限のユーザを選択して、[次へ]をクリックします。
CA

構成するサービスにチェックを入れ、[次へ]をクリックします。
CA

エンタープライズCAを選択しましょう。
CA

エンタープライズCAとスタンドアロンCAでは以下の特徴があります。
CA

ルートCAとして構築しましょう。
CA

新しい秘密キーを作成しましょう。
CA
暗号化オプションを指定します。SHA-1だけは控えましょう。
CA

CAの名称を選択します。デフォルトにしときます。
CA
ルート証明書の証明書期限を選択します。
CA

データベースを選択します。
CA

[構成]をクリックします。
CA
構成が完了したら、[閉じる]をクリックします。
CA

クライアントからの要求

証明機関が構成されたので、実際にクライアントから証明書を要求してみましょう。

まずは、メンバーコンピュータから試してみます。
コマンドプロンプトからgpupdate /forceをしましょう。
ポリシーによって、ルート証明書が配布されているはずです。
ファイル名を指定して実行から[mmc]を起動します。

[ファイル]⇒[スナップインの追加と削除]をクリックします。
CA

[証明書]を追加します。
CA

[信頼されたルート証明機関]をみると、先ほど構成したルート証明書が入っていますね。
CA

特に何にかに使うってわけではありませんが、ユーザ証明書を発行してみましょう。
[個人]を右クリックして[新しい証明書の要求]をクリックします。
CA

[次へ]をクリックします。
CA

[次へ]をクリックします。
CA

発行できる証明書テンプレート一覧が表示されます。
とりあえず、ユーザ証明書を発行してみましょう。
CA

また、規定の証明書テンプレートはこれだけあります。
証明機関コンソールから確認だきるだお(´_ゝ`)
CA

[完了]をクリックします。
mmcコンソールに戻ると、証明書が確認できると思います。
CA

[証明機関]コンソールから[発行した証明書]には、先ほど発行した証明書が表示されています。
CA

証明書を右クリック⇒[証明書の失効]から対象の証明書を失効することが出来ます。
失効とは、証明書を使えなくすることを意味します。
CA

[理由コード]とありますが、何でも構いません。
但し、[一時中止]を選択すると、失効後に「やっぱやーめた」が出来ちゃいます。
CA

失効すると、[失効した証明書]に表示されます。

おわりに

プライベートCAは、よく社内サービスへのアクセス制限として、ユーザ証明書を配布するために構築したりします。
例えば、VPNサービスを利用するコンピュータは証明書がインポートされている端末のみ!のような制限が実現できます。
次回は、証明書WEB登録サービスを使った、証明書の発行をしてみましょう。
いずれは、Office365への証明書認証もご紹介したいですね( ̄∇ ̄)

それでは、よいWindows Serverライフをっ♪

スポンサーリンク