証明機関のインストール ~Web登録の構成~
概要
証明書のリクエストをWebで行えるようにするための環境を構築します。
エンタプライズCAを構築した場合、Web登録の構成がすごくめんどうだったので手順として残しておきます。
別のサーバーでサーバー証明書作成してIISに適用しちゃえば簡単にWeb登録を構築することができますが今回はMicrosoftが掲載している手順のとおり構成してみます。
作業
「Webサーバー(IIS)」の構成
役割と機能の追加を実行
「Active Directory 証明書サービス」を展開し、「証明機関 Web 登録」をチェック
Web サーバー(IIS)がインストールされていない場合、以下のように
追加ウィザードが表示されます。
機能の追加は特にないため、そのまま次へ
IISの構成が開始されます。
役割サービスは用途に合わせて適宜選択してください。
今回はデフォルト設定のままIISを構成します。
「証明機関 Web 登録」の構成
「証明機関 Web 登録」をチェックし次へ
サーバー証明書の発行とIISへの適用
ここからすごく面倒です。
Web 登録を構成後、http接続で証明書の要求を行おうとすると以下のとおりエラーが発生します。
上記エラーのとおり、Webで証明書の要求を行う場合、HTTPSでの接続が必須となります。
しかし、エンタープライズCAで構築した場合、サーバー証明書の発行が初期設定では行えないようになっています。
以下のURLの手順のとり、サーバー証明書を要求できるように設定します。
「ファイル名を指定して実行」に以下を入力して証明書テンプレートを起動します。
certtmpl.msc
証明書テンプレートコンソールを起動後、Webサーバーを選択してテンプレートの複製を実行します。
互換性タブの表示はデフォルトのままとする。
全般タブでテンプレート表示名、およびテンプレート名を設定します。
今回は「SSL証明書」を設定します。
また、有効期間も適宜設定します。
セキュリティタブでコンピューターアカウントが証明書の要求を行えるように追加します。
コンピューターを選択します。
※オブジェクトの種類をコンピューターにして検索する。
コンピューターを選択し、登録を許可します。
サブジェクト名タブで下記のとおり設定を変更し、OKボタンを押下します。
- 「Active Directory の情報から構築する」を選択
- 「サブジェクト名の形式」に共通名を設定
- 「DNS 名」にチェック
- 「ユーザー プリシンパル名 (UPN)」のチェックを外す
複製したテンプレートが一覧に表示されることを確認します。
証明機関を起動し、複製したテンプレートを発行できるように設定します。
複製したテンプレート「SSL証明書」を選択しOKボタンを押下する。
これで「SSL証明書」が証明書の要求で選択できるようになります。
mmcを起動する。
※「ファイル名を指定して実行」に "mmc" を入力し起動。
起動後、スナップインの追加と削除から証明書を追加する。
証明書を選択し、追加ボタンを押下する。
コンピューターアカウントを選択し次へ
※コンピューターアカウント以外を選択すると証明書の発行ができないので注意
証明書をスナップインに追加後、OKボタンを押下
次に 個人 ⇒ 証明書 で右クリックし新しい証明書の要求を行う。
複製したテンプレート「SSL証明書」を選択し登録ボタンを押下
これでサーバー証明書の発行は完了です。
※ドメインコントローラー用の証明書と発行先が同一になっていますので注意。
mmcで発行した証明書はIISで既に参照できるようになっているためバインド編集を実行します。
※Default Web Siteを選択してバインド編集を行う。
SSL証明書にはドメインコントローラーの証明書も表示されているため表示ボタンで証明書を表示し、正しいサーバー証明書を選択しOKボタンを押下
以下のURLに接続し、証明書のWeb 登録が行えるか確認する。
「証明書の要求の詳細設定」リンクをクリック
「この CA への要求を作成し送信する。」リンクをクリック
エラーにならず、証明書テンプレートが表示されていれWeb 登録の構成は完了。
