タグ

関連タグで絞り込む (3)

タグの絞り込みを解除

ADCSに関するJohn_Kawanishiのブックマーク (31)

  • ADCS(Microsoft CA局)の冗長化、負荷分散設計について - CAFE BREAK

    ADCS(Microsoft CA局)の冗長化、負荷分散設計についてふと気になったので、調べてみました。まず、社内で簡単に証明書を発行するCA局を構築したい場合は、ADCSが便利です。 特に昨今話題になっているLDAPS通信の為に、ADCSをいれておけば、自動でドメインコントローラ証明書を発行して、さらに自動更新までしてくれます。 もはや、必須ともいえるかもしれません。証明書関連の知識はちょっと難しいので、セキュリティのお勉強が必要になります。そして、これまで何度かADCSを構築してきましたが、基はシングル構成で、上位、下位の構成で構築することはあっても、発行CA局を複数、しかも冗長構成、負荷分散を意識したことがなかったので、調べてみました。 まずはこちらの情報が参考になりました。 証明書サービス(AD CS)の冗長化について 質問の抜粋です。 証明機関およびオンラインレスポンダの役割を

    ADCS(Microsoft CA局)の冗長化、負荷分散設計について - CAFE BREAK

  • 【AD CS】証明機関 Web 登録とは?基本的の仕組みを解説! | ねこまるの AD フリーク

    Windows Server OS には「Active Directory 証明書サービス(AD CS)」という役割が OS 標準で導入されています。「Active Directory 証明書サービス(AD CS)」の役割にある「証明機関」の機能をインストールすれば、簡単にプライベートの証明機関を構築することができます。 また、AD CS の役割の中には「証明機関 Web 登録」という機能があり、この機能をインストールすると、Web ブラウザ(Internet Explorer)から構築したプライベートの証明機関を利用することができるようになります。 今回は「証明機関 Web 登録」の基的な仕組みや機能について紹介します。 証明機関 Web 登録とは 「証明機関 Web 登録」とは「Active Directory 証明書サービス(AD CS)」で構築したプライベートの証明機関を Web

    【AD CS】証明機関 Web 登録とは?基本的の仕組みを解説! | ねこまるの AD フリーク

  • ITインフラ備忘録 エンタープライズCAの非ドメイン環境への対応

    Active Directory 証明書サービス エンタープライズCAの非ドメイン環境への対応 エンタープライズCAの既定の状態はドメインメンバーだけで使用するには特に支障なく使用することができるが、 非ドメイン環境からのアクセスあるいは独自の証明書管理を行うアプリケーションから使う場合には問題が出る ケースがある。 主な原因はCDPやAIAがActive Directoryに参加しているコンピュータやユーザからしか参照できないことにある。 ■既定の設定の確認 サーバーマネージャーでツリーを展開し、 「エンタープライズ PKI」を参照すると証明機関の状態を確認することができる。 AIA、CDP、deltaCRLの場所がそれぞれldapでしか登録されていない。 実際に発行されたサーバ証明書を確認してみると、 CRL配布ポイント(CDP)、機関情報アクセス(AIA)のURLにはldapのみで登

  • 【AD CS】証明書失効リスト(CRL)を手動で有効期間を延長する方法 | ねこまるの AD フリーク

    証明書失効リスト(CRL)とは、証明機関で発行された証明書の中で失効した証明書の一覧を記載したものです。 証明書の正当性を検証するときに、証明書に記載されている CDP(CRL 配布ポイント)から CRL を取得して、証明機関から証明書が失効されていないか確認します。CRL には有効期間が定義されておりますが、失効されていないかを確認するときに CRL の有効期限が切れていると、失効確認に失敗します。 今回は、CRL の有効期間が切れないように、手動で CRL の有効期間を延長する方法について紹介します。 AD CS での CRL の自動更新 CRL には有効期間が設定されています。Active Directory 証明書サービスで構築した証明機関では、既定で Base CRL の有効期間は 1 週間、Delta CRL の有効期間は 1 日となります。 Active Directory

    【AD CS】証明書失効リスト(CRL)を手動で有効期間を延長する方法 | ねこまるの AD フリーク

  • CA のバックアップと復元の Windows PowerShell コマンドレット

    適用対象: Windows Server 2022Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012 作成者: Justin Turner、Windows グループ、シニア サポート エスカレーション エンジニアNote この内容は Microsoft カスタマー サポート エンジニアによって作成され、TechNet が通常提供しているトピックよりも詳細な Windows Server 2012 R2 の機能やソリューションの技術的説明を求めている、経験豊かな管理者とシステム設計者を対象としています。 ただし、TechNet と同様の編集過程は実施されていないため、言語によっては通常より洗練されていない文章が見られる場合があります。 概要 ADCSAdministrati

    CA のバックアップと復元の Windows PowerShell コマンドレット

  • AD CS | ねこまるの AD フリーク

    【解決方法】証明機関Web登録でCSPが表示されない Windows Server OS には「Active Directory 証明書サービス(AD CS)」という役割が OS 標準で導入されています。「Active Directory 証明書サービス(AD CS)」の役割にある「証明機関」の機能をインストールすれば、簡単にプライベートの証明機関を構築することができます。 また、AD CS の役割の中には「証明機関 Web 登録」という機能があり、 […] 【AD CS】証明書テンプレートのプロパティ画面の各種設定① Active Directory 証明書サービスを利用して、エンタープライズ CA という種類の証明機関を構築すると、証明書の発行には証明書テンプレートを指定する必要があります。証明書テンプレートとはエンタープライズ CA で使用される証明書のひな型となるもので、証明書に記

    AD CS | ねこまるの AD フリーク

  • 【AD CS】エンタープライズ CA の撤去手順 | ねこまるの AD フリーク

    Active Directory 証明書サービスで構築したエンタープライズ CA を撤去するための手順を紹介します。 エンタープライズ CA を撤去する手順としては、基的には “Active Directory 証明書サービス” の役割をアンインストールするのみです。 ただし、”Active Directory 証明書サービス” の役割をアンインストールでは、証明機関そのものは削除されますが、CA 証明書や CRL 等の証明機関の運用に利用されていた一部の情報が残存してしまいます。 ドメイン環境に構築したエンタープライズ CA を、データを残さずに完全に撤去する手順について説明します。 ただし、証明機関が発行して配布したユーザー証明書やコンピューター証明書は、削除対象に含めておりませんのでご注意ください。 事前準備 事前準備として、撤去対象となる証明機関の CA 証明書の情報を把握します

    【AD CS】エンタープライズ CA の撤去手順 | ねこまるの AD フリーク

  • Active Directory証明書サービス(AD CS)でオレオレ認証局(エンタープライズCA)を構築する

    どうも、Tです。 急遽、証明書機関が必要になったので、Active Directory証明書サービス(AD CS)を使えるようにしてみました。 やりたいことAD CSをエンタープライズCAとして構築するエンタープライズCAとスタンドアロンCAの違いは、下記によくまとめられています。 環境Windows Server2019(ホスト名testadcs)※このホストはADではありません。ADドメイン参加済み作業は、ドメインAdministratorで実施Active Directory 証明書サービスインストールActive Directory証明書サービス(AD CS)をインストールしていきます。 サーバーマネージャーの「管理」->「役割と機能の追加」をクリックします。 「役割ベースまたは機能ベースのインストール」を選択し「次へ」をクリックします。 インストールするサーバーが正しいことを確認

    Active Directory証明書サービス(AD CS)でオレオレ認証局(エンタープライズCA)を構築する

  • Active Directory 証明書サービスのトラブルシューティング

    ここでは、証明機関スナップインの使用、または証明機関 (CA) の操作中に発生する可能性のある一般的な問題をいくつか示します。CA に関する問題のトラブルシューティングと解決方法の詳細については、Active Directory 証明書サービスのトラブルシューティングに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=89215) を参照してください。 どのような問題がありますか? 自動登録を構成しても、クライアントが証明書を自動的に登録しません。 原因 : 自動登録に使用されるグループ ポリシー情報が、クライアント コンピューターにまだレプリケートされていません。既定では、この情報をすべてのコンピューターにレプリケートするのに最長で 2 時間かかる可能性があります。 解決方法 : グループ ポリシーがレプリケートを完了す

  • 【AD CS】ルート証明書を更新する手順 | ねこまるの AD フリーク

    Active Directory 証明書サービスでルート証明機関を構築した場合、CA 構成の作業を行った時にルート証明書が作成されます。 既定では5年の有効期間でルート証明書が発行されますが、有効期限が迫ったらルート証明書を更新する必要があります。 今回は Active Directory 証明書サービスで構築したルート証明機関でルート証明書を更新する方法を紹介します。 ルート証明書の更新手順 ルート証明書を更新して有効期間を延長する手順です。 ルート証明機関の CA の種類がエンタープライズ CA でもスタンドアロン CA でも手順は同じです。 1) 管理者権限をもつユーザーで CA サーバーにログオンします。 2) [Windows 管理ツール] より [証明機関] を開きます。 3) 画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] を右クリックして [すべてのタ

    【AD CS】ルート証明書を更新する手順 | ねこまるの AD フリーク

  • Enterprise Root CA サーバーの名前を見つける - Windows Server

    この記事は、エンタープライズ ルート証明機関 (CA) サーバーの名前を見つけるのに役立ちます。 適用対象: Windows Server 2003 元の KB 番号: 555529 概要 次の内容では、エンタープライズ ルート証明機関サーバーの名前を検索するための 2 つのオプションについて説明します。 オプション 1 ドメイン管理者を使用して、ドメインに接続するコンピューターにサインインします。 [スタート] -[実行] ->> [Write cmd]\(コマンドの書き込み\) に移動し、Enter ボタンを押します。 "certutil.exe" コマンドを書き込み、 Enter ボタンを押します。 オプション 2 ドメイン管理者を使用して、ドメインに接続するコンピューターにサインインします。 Windows サポート ツールをインストールします。 [スタート] -[>実行] ->[

    Enterprise Root CA サーバーの名前を見つける - Windows Server

  • PEAP と EAP の要件に合わせて証明書テンプレートを構成する

    適用対象: Windows Server 2022Windows Server 2019、Windows Server 2016 拡張認証プロトコル トランスポート層セキュリティ (EAP-TLS)、保護された拡張認証プロトコルトランスポート層セキュリティ (PEAP-TLS)、および PEAP-Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) のネットワーク アクセス認証を使用するすべての証明書は、X.509 証明書の要件を満たし、Secure Socket Layer/Transport Level Security (SSL/TLS) を使用する接続で機能する必要があります。 クライアントとサーバーの両方の証明書には、下に詳細を示すとおり、追加の要件があります。 サーバー証明書の最小要件 認証方法として PEAP-MS-CHAP

    PEAP と EAP の要件に合わせて証明書テンプレートを構成する

  • 【AD CS】証明書テンプレートのプロパティ画面の各種設定① | ねこまるの AD フリーク

    Active Directory 証明書サービスでは、CA の種類として "エンタープライズ" と "スタンドアロン" があります。エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられ[…] バージョン 2 以上の証明書テンプレートであれば、証明書テンプレートの各種設定を変更することができます。証明書テンプレートのプロパティ画面で設定できる各種設定について説明します。 今回は、[全般]、[互換性]、[要求処理]、[暗号化] タブの設定について紹介します。 証明書テンプレートのプロパティ画面の開き方 証明書テンプレートの設定は、証明書テンプレートのプロパティ画面より設定することができます。 証明書テンプレート コンソールを開くと、エンタープライズ CA にて利用できる証明書テンプレートの一覧が表示されます。証明書テンプレート コンソール

    【AD CS】証明書テンプレートのプロパティ画面の各種設定① | ねこまるの AD フリーク

  • EAP-TLS を使用する場合の証明書の要件 - Windows Server

    EAP-TLS で拡張認証 Protocol-Transport 層セキュリティ (EAP-TLS) または保護された拡張認証プロトコル (PEAP) を使用する場合、クライアント証明書とサーバー証明書は特定の要件を満たす必要があります。 適用対象: Windows 11、Windows 10 元の KB 番号: 814394 概要 スマート カードを使用した TLS や証明書を使用した TLS など、強力な EAP の種類で EAP を使用する場合、クライアントとサーバーの両方で証明書を使用して相互に ID を確認します。 証明書は、認証を成功させるには、サーバーとクライアントの両方で特定の要件を満たす必要があります。 証明書は、証明書の使用に一致する拡張キー使用法 (EKU) 拡張機能で 1 つ以上の目的で構成する必要があります。 たとえば、クライアントからサーバーへの認証に使用される

    EAP-TLS を使用する場合の証明書の要件 - Windows Server

  • MacがADCSの証明書を信頼しない - よろづやアンテナ

    Macを会社で使っているところがあるかもしれませんが、Windows Serverで構築したADCSの証明書を信頼しないという情報がありました。 こちら Macintosh does not trust certificate from ADCS 以下は質問の抜粋です。 === 2012 R2に基づく新しいADCSをセットアップし、オフラインルート証明書を使用するTier-2ソリューションを使用して、エンタープライズCAの動作に発行CAとOCSPがあります。現在のソリューションは、Windowsクライアントを使用して完全に機能します。非推奨以降、ハッシュにSHA-2を使用しましたが、今では問題が発生し始めています。また、Macintoshなどの非ドメインステーションでのみ使用できます。 Macintoshのキーチェーンでは証明書が信頼できないというメッセージが表示されるため、RADIUS認

    MacがADCSの証明書を信頼しない - よろづやアンテナ

  • Active Directory 証明書サービスの CA 証明書を更新する場合は適切な権限を使いましょう

    Inside SCCM / Intune Japan About Microsoft Configuration Manager (MCM), Microsoft Intune and Microsoft Technologies. 皆さん、こんにちは。 今回は、話題を変えて、Active Directory 証明書サービスのお話をしたいと思います。というのも、私自身が体験したトラブルシューティングの話を取り上げたいと思います。 Active Directory 証明書サービスを運用していると、CA 証明書の定期的な更新が必要になります。この CA 証明書の書き換え時に使用する管理者アカウントに付与されている権限をミスすると問題が発生しましたので、備忘録として残しておきます。 <何か起きたか> CA 証明書の書き換え作業を行った際に使用したアカウントに権限が不足していたため、Active

    Active Directory 証明書サービスの CA 証明書を更新する場合は適切な権限を使いましょう

  • NPS と 802.1x 認証 で注意すること - Qiita

    はじめに Windows Server の ネットワークポリシーサービス (NPS) で 802.1x 認証 を構成する場合は、以下の画面のような設定を行うと思います。 この構成を行う際に、ネットで各種ドキュメントを見ても、その内容と この画面の設定項目とを突き合わせてみても、どう解釈すればよいのか理解するのに とても苦労しました。 この記事では、その点について 説明したいと思います。 注意すべき点 802.1x 認証 を行う際に出てくる認証方式がありますが、呼び名について、著しく表記ゆれがあります。 まずは、そのことを意識しておかないと、各種ドキュメントを読み解けません。 以下のドキュメント (URL:認証方式)で説明されている認証方式 (EAPの種類) は何種類かありますが、以下の3項目に着目しました。 EAP-TLS EAP-MSCHAPv2 保護された EAP (PEAP) 以下の

    NPS と 802.1x 認証 で注意すること - Qiita

  • 証明書テンプレートの互換性設定について | PCテクノロジー株式会社

    無線LAN用のコンピュータ証明書を作成する際などに、既存の証明書テンプレートを複製して新しいテンプレートを作成しパラメータの設定等を実施しますが、「互換性」タブにある「証明機関」や「証明書の受信者」設定を初期値から変更した場合、テンプレートのスキーマバージョンが変化し、証明書を受信するPCのOSバージョンによっては証明書が受信できないという現象が発生します。 画面はWindowsServer2012R2の「証明機関」ツールでの「証明書テンプレート」の一覧にある「ワークステーション認証」の「互換性」タブの画面です。 初期値では画像の様に少々古いOSが指定されていますが、認証局を構築しているサーバが Windows Server 2012R2で、証明書を使用するPCWindows10の場合は「証明機関」プルダウンメニューから 「Windows Server 2012R2」を選択し、「証明書の

    証明書テンプレートの互換性設定について | PCテクノロジー株式会社

  • AD CS で 5 年間有効なサーバー認証用の証明書を作成 at SE の雑記

    ちょっとしたメモですが。 基的な内容は、以下を参照していただくとよろしいかと。 Windows Server 2003 または Windows 2000 Server 証明機関により発行される証明書の有効期限を変更する方法 Certificate Expiration is set for only 1 year for issued certificates in a Windows 2008 Active Directory environment. Certutil AD CS (Active Directory 証明書サービス : Active Directory Certificate Services) ではインストール時に有効期間を指定することができ、デフォルトでは 5 年間が設定されています。 ここで指定した証明書の有効期間がルート証明書の有効期間にもなるかと。 証明機関

    AD CS で 5 年間有効なサーバー認証用の証明書を作成 at SE の雑記

  • ADCSをコマンドプロンプトで利用してみました - ()のブログ

    先日お伝えしたADFS用の証明書作成の方法ですが、IISを使い、要求を作成してからWeb登録機能を用いて発行を行うというサポートツールをふんだんに利用した方法となっていました。 http://mitomoha.hatenablog.com/entry/2019/08/20/011035 実は、これらの対応はCUIを利用すればIIS、Web登録を利用しなくても実行できるということを最近知りました。 今回はその方法を連携していきたいと思います。 以下を実施前に前回もお伝えしていますが、以下のコマンドで別名を付けられるようにしておきましょう。 certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 追加したら証明機関の再起動が必要です。 net stop certsvc net start certsvc 以下のサイトを

    ADCSをコマンドプロンプトで利用してみました - ()のブログ
  • 1 2 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.