AD でドメイン内での認証

更新日 2016-10-18 (火) 06:42:12

Windowsサーバ上に認証局を作成、ドメイン内ではこの認証局を利用することができる。 ドメイン内では、発行元が保障される。(ルート証明書がドメイン内では自動でクライアントに登録される)

WebサーバからはCSRを作成し、認証局にWebアプリで送ることで、署名入りのサーバ証明書を発行することがでできる。(証明機関Web登録)

これでドメイン内では認証機関のサイン入(身元保証)でSSL通信が利用できる

作成手順

以下の手順で利用できるようになる

認証局はドメインに1つあれば後はそこからサーバ証明書を認証できる。

 ---------------------------------------------
 | 1. Windows Server(DC) に CA局を作成       |
 |     エンタープライズCAを作成              |
 |     (DCに入れ自動配布する)
 |   (CA1-CA14)                              |
 ---------------------------------------------
                |
                |
 ---------------------------------------------
 | 2. ルート証明書のエクスポート             |
 |   (root_cert_ex1-root_cert_ex8)           |
 ---------------------------------------------
 (DCにCA局を作成したので2.は不要)
                |
                |
 ---------------------------------------------
 | 3.ルート証明書をDCインストール            |
 |   DCの証明書はグループポリシーの構成を    |
 | 行なわなくても、自動的に配布される。     |
 |   (他のサーバの場合はグループポリシー     |
 |    で配布を構成)                          |
 |   (Gpolicy_inport1-Gpolicy_inport11)      |
 ---------------------------------------------
 (DCにCA局を作成したのでグループポリシーは不要)
                |
                |
 --------------------------------------------
 | 4. 証明機関Web登録の構成                 |
 |   サーバからCSRをWeb上で受け付け、       |
 |   サーバ証明書を発行するWeb APP          |
 |   (役割でインストールを指定している      |
 |    ので特に操作不要 CA3)                 |
 |   https://(CAサーバ)/certsrv/ ができる   |
 --------------------------------------------
                |
                |
   (ここからはサーバ証明書が必要なサーバで行う)
 --------------------------------------------
 | 5. サーバ証明書を要求のための CSRを作成   |
 |    (証明書要求1-証明書要求11)             |
 --------------------------------------------
                |
                |
 --------------------------------------------
 | 6. サーバ証明書を要求取得しIISに登録     |
 |   証明機関Web登録ページにアクセスし      |
 |   サーバ証明書を取得し、IISに登録し、    |
 |   サイトにバインドする                   |
 |  https://(CAサーバ)/certsrv/ にアクセス  |
 |    (証明書要求12-証明書要求14)           |
 --------------------------------------------

ドメインコントローラの証明書はグループポリシーの構成を行なわなくても、自動的に配布される。ドメインコントロール以外の認証局はルート証明機関をグループPolicyで配布する。

認証機関

CA作成をDC上で行う

CAをインストール

サーバの役割

  • 証明機関
  • 証明機関Web登録(サーバ証明書発行Tool)

CA1.png

CA2.png

CA3.png

CA4.png

CA5.png

CA6.png

CA7.png

CA8.png

CA9.png

CA10.png

CA11.png

CA12.png

CA13.png

CA14.png

サーバ証明書要求

WebサーバのIISマネージャで作業

CSR作成

証明書要求1.png

証明書要求2.png

証明書要求3.png

証明書要求4.png

証明書要求5.png

CSRからサーバ証明書要求

証明機関Web登録(サーバ証明書発行Tool)しているので以下にアクセスすればサーバ認証を要求できる。

証明書要求6.png

証明書要求7.png

証明書要求8.png

証明書要求9.png

証明書要求10.png

IISにインポート

証明書要求11.png

証明書要求12.png

証明書要求13.png

サイトにバインド

証明書要求14.png

確認

CA証明書配布.png

参考


添付ファイル: file証明書要求14.png 89件 [詳細] file証明書要求13.png 80件 [詳細] file証明書要求12.png 66件 [詳細] file証明書要求11.png 79件 [詳細] file証明書要求10.png 70件 [詳細] file証明書要求9.png 80件 [詳細] file証明書要求8.png 75件 [詳細] file証明書要求7.png 82件 [詳細] file証明書要求6.png 71件 [詳細] file証明書要求5.png 69件 [詳細] file証明書要求4.png 74件 [詳細] file証明書要求3.png 76件 [詳細] file証明書要求2.png 73件 [詳細] file証明書要求1.png 77件 [詳細] fileCA証明書配布.png 64件 [詳細] fileCA14.png 56件 [詳細] fileCA13.png 68件 [詳細] fileCA12.png 60件 [詳細] fileCA11.png 65件 [詳細] fileCA10.png 76件 [詳細] fileCA9.png 53件 [詳細] fileCA8.png 60件 [詳細] fileCA7.png 74件 [詳細] fileCA6.png 86件 [詳細] fileCA5.png 74件 [詳細] fileCA4.png 67件 [詳細] fileCA3.png 77件 [詳細] fileCA2.png 68件 [詳細] fileCA1.png 61件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2016-10-18 (火) 06:42:12 (762d)