証明書サービス (AD CS) のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 証明書サービス (AD CS) へ行く。
  • 1 (2014-09-21 (日) 12:45:57)
  • 2 (2014-10-16 (木) 19:23:26)
  • 3 (2016-01-03 (日) 16:07:30)
  • 4 (2016-01-03 (日) 16:59:12)
  • 5 (2016-01-26 (火) 19:12:02)
  • 6 (2017-01-04 (水) 15:51:15)
  • 7 (2017-01-12 (木) 14:51:50)
  • 8 (2017-03-27 (月) 15:13:44)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

公開キー証明書を発行し管理するためのカスタマイズ可能なサービスを提供

機能 †

証明機関 (CA) †

認証局（CA）（ルート CA と下位 CA） は、

証明書を

• ユーザー
• コンピューター
• サービス

に発行し、

証明書の有効性を管理する際に使用される。

CA Web 登録 †

Web 登録により、Web ブラウザーから CA に接続し、
証明書を要求して証明書失効リスト (CRL)を取得することができる。

オンライン レスポンダー †

OCSPにより、

オンラインで特定の証明書に対する

• 失効状態要求の受入
• 証明書状態の評価
• 証明書状態情報を含む署名付きの応答の返信。

を行う。

ネットワーク デバイス登録サービス †

ネットワーク デバイス登録サービスにより、

• ドメイン アカウントを持っていないルーターや
• 他のネットワーク デバイス

が証明書を取得できるようになる。

証明書の登録 Web サービス †

ユーザーやコンピューターが HTTPS プロトコルを使用した証明書の登録を実行できる。

• クライアント コンピューターがドメインのメンバーでない場合や、
• ドメイン メンバーが自身のドメインに接続していない場合に、

ポリシー ベースの証明書の登録を可能にする。

証明書の登録ポリシー Web サービス †

ユーザーやコンピューターが証明書の登録ポリシー情報を取得できる。

証明書の登録 Web サービスと合わせて使用することで、

• クライアント コンピューターがドメインのメンバーでない場合や、
• ドメイン メンバーが自身のドメインに接続していない場合に、

ポリシー ベースの証明書の登録を可能にする。

CAの種類 †

• 証明機関の種類
  https://technet.microsoft.com/ja-jp/library/cc732368.aspx

階層 †

ルートCA †

• 下位CAにのみ証明書を発行
• ネットワーク上のユーザーやコンピューター、ネットワーク機器には証明書を発行しない。

• オフラインルートCA
  • ネットワーク経由の攻撃から保護できることが運用上の大きなメリット。
  • チェックリスト : オフラインのルート証明機関を使って証明階層を作成する
    https://msdn.microsoft.com/ja-jp/library/cc737834.aspx

中間CA †

ルートCAと同様に、下位CA（3階層の場合は、発行CA）にのみ証明書を発行する。

発行CA †

ネットワーク上のユーザーやコンピューター、ネットワーク機器に証明書を発行する。

インストール・オプション †

スタンドアロンCA †

• スタンドアロン証明機関
  https://technet.microsoft.com/ja-jp/library/cc755290.aspx
  • Active Directoryのドメイン サービス (AD DS)が不要。

• 証明書要求をスタンドアロン CA に送信するときに、
  • ユーザーの識別情報を提供する
  • 必要な証明書の種類を指定する

• 証明書テンプレートは使用されない。

• 管理者は証明書要求の確認タスクを実行する必要がある。
  • 証明書要求は、スタンドアロン CA の管理者が送信情報を確認してその要求を承認するまで、すべてが保留状態に設定される。
  • スタンドアロン CA では証明書の要求者の資格情報は確認されないため、管理者が証明書要求の確認タスクを実行する必要がある。

• 管理者か、ユーザー自身がスタンドアロン CA の証明書を
  ドメイン ユーザーの信頼されたルート ストアに明示的に配布する必要がある。

• ドメイン サービス (AD DS)を使用した場合の追加機能
  Domain Admins グループのメンバー、AD DS への書き込みアクセス権を持つ管理者がスタンドアロン CA をインストールした場合、
  • ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関証明書ストアに、その CA が自動的に追加される。
  • CA 証明書と証明書失効リスト (CRL) を AD DS に発行する。

• 用例
  • オフラインの信頼されるルートCA として使用する。
  • ネットワーク経由でクライアントに証明書を発行する。

• 構成
  • 下位CAに証明書を発行するルートCAや中間CAは、スタンドアロンCAとしてインストールする。
  • 通常、スタンドアロンCAは、ワークグループのスタンドアロンサーバーにインストールする。

エンタープライズCA †

• エンタープライズ証明機関
  https://technet.microsoft.com/ja-jp/library/cc771443.aspx
  • Active Directoryのドメイン サービス (AD DS)へのアクセスが必要。
    • GPOを使用して、ドメイン内のすべてのユーザーおよびコンピューターの、信頼されたルート証明機関証明書ストアに証明書を伝達する。
    • エンタープライズCAが Certificate Publishers グループのメンバーである場合、ユーザー証明書および証明書失効リスト (CRL) を AD DS に発行する。

• 証明書テンプレートに基づいて証明書を発行する。
  • エンタープライズ ユーザーの情報はドメイン サービス (AD DS)に既に登録されていて、
    証明書の種類は証明書テンプレートに記述されているため、証明書テンプレートの選択操作を行う必要はない。
  • 要求の認証情報は、ローカル コンピューターのセキュリティ アカウント マネージャー データベースから取得される。
  • 証明書テンプレートにはAD DS でのセキュリティのアクセス許可セットがある。
  • ポリシー モジュールにより、証明書およびその用途に関して証明書の要求者が指定する必要のある情報量を減らすことができる。

• 管理者は証明書要求の確認タスクを実行する必要がない。
  • 自動登録を使用して証明書を発行できる。

• 用例
  • 発行CAは、エンタープライズCAとしてインストールする。

• 構成
  • ドメインに参加したメンバーサーバーにインストールする。

階層構成 †

• 証明機関の階層
  https://msdn.microsoft.com/ja-jp/library/cc781292.aspx

1階層のCA †

要件 †

• 管理作業の簡略化やコストの最小化
• セキュリティポリシーで「オフラインルートCA」の実装が要求されていない場合

構成 †

ドメインに参加しているメンバーサーバーに対し、
ルートCAと発行CAの二つの役割を持つエンタープライズCAをインストールする。

2階層のCA †

要件 †

• ルートCAと発行CAが配置される。
• ルートCAは“オフライン”で運用することが推奨される。

構成 †

• ワークグループのスタンドアロンサーバーにスタンドアロンCAをインストールしてルートCA（オフラインルートCA）の役割を持たせ、
• ドメインに参加しているメンバーサーバーにエンタープライズCAをインストールして発行CAの役割を持たせる。

3階層のCA †

要件 †

最大限のセキュリティと柔軟性を確保することが可能

• セキュリティポリシーでCA階層の物理的なセキュリティが必須要件として規定されている
• 複数の保証レベルで証明書を発行
• CAの管理責任を分担する

構成 †

• ルートCA
  • オフラインルートCA
  • スタンドアロンCA

◆◆◆

• 中間CA
  • スタンドアロンCA

◆◆◆

• 発行CA
  • エンタープライズCA

参考 †

• Active Directory 証明書サービス
  https://technet.microsoft.com/ja-jp/windowsserver/dd448615.aspx
• Active Directory 証明書サービス
  https://technet.microsoft.com/ja-jp/library/cc770357.aspx

• Active Directory 証明書サービスの概要
  https://technet.microsoft.com/ja-jp/library/cc731564.aspx
• Active Directory 証明書サービスの役割
  https://technet.microsoft.com/library/cc753254.aspx
• AD CS の新機能
  https://technet.microsoft.com/library/hh831373.aspx

• ステップ バイ ステップ ガイド
  Windows Server Active Directory 証明書サービス
  https://technet.microsoft.com/library/cc772393.aspx

• ＠IT - 基礎から学ぶサーバーマネージャーの使い方
  Active Directory証明書サービスでセキュアな公開鍵基盤を構築する
  
  • （1） (1/2)
    http://www.atmarkit.co.jp/ait/articles/1508/28/news021.html
  • （2） (1/3)
    http://www.atmarkit.co.jp/ait/articles/1509/17/news016.html

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.037 sec.