証明書関連は難解なので、まず信頼おける書籍を熟読し、実機を十分に操作し検証確認してから質問するようにということだろう。
(質問)
証明書テンプレート、自動証明書要求などについて
1Windows2003の証明書テンプレートコンソールをみているのですが、自動登録欄に許可や不許可とあるテンプレートがありますがこれは何を意味するのでしょうか?ここで許可となっているテンプレートがグループポリシーの自動証明書要求で使えるのかなとおもったのですが、許可となっているテンプレートがすべて表示されるわけではないですし。自動証明書要求で要求できる証明書の種類を増やすにはどうすればよいでしょうか?
2証明書の秘密鍵ってどこに保管されるのでしょうか?ドメイン環境だとADのデータベース内??ワークグループだとファイル??
3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?
4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?
5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?
6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?
よければ教えてください。
------------------------------------
(回答1)
○○○○です。
証明書サービスについて、いろいろご質問されていますね。初歩的な内容から細かいところまで、ひとつひとつに答え続けるには、ちょっと時間がありません。体系的に勉強したい、というなら、きちんとした書籍を読まれてみてはどうですか?たとえばしたのようなものがあります。
http://ec.nikkeibp.co.jp/item/books/A05400.html
------------------------------------
(回答2)
>2もクライアント証明書についてはたぶん証明書の中に秘密鍵があるんですよね??一般の証明書についてはわかりませんが。
通常使用される証明書はPKCS#7形式ですので、証明書の中に存在するのは公開キーです。
秘密キーはプロファイルの中に存在しています。
>3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?
はその通りです。
>4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?
EFSを使用する際にDRAを使う設定(規定)にしてあれば、その通りです。
>5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?
全ての証明書に存在します。CRL配布ポイント(CDP)より各クライアントはダウンロードして確認します。
>6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?
証明機関を管理できますとしか答えようがありません。
いろいろとご質問されていますが、一旦ご自分で調べてみてはいかがでしょうか?その方が理解度が増すと思われます。特に○○○○さんがご紹介されている本は良書ですよ。私も持っています。証明書関連はやはり難しいのでこのような書籍をご一読された方がよろしいかと思われます。
以上、参考になれば幸いです。
(参考:個人の方のブログ)
EFSの動作に関して-MCTの憂鬱
(マイクロソフト公式解説書)
Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 (マイクロソフトITプロフェッショナルシリーズ)
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/7e26cb15-a168-40ac-96ae-7185f1478b08
[0回]
(MSのブログ)
http://blogs.technet.com/b/jpepscrt/archive/2010/03/18/windows-server-2008-r2-windows-pki.aspx
(MSのブログより一部本文抜粋すると)
以下の機能は、「Enterprise」 と 「Datacenter」 エディションのみがサポートしており、
Standard エディションはサポートしていない機能となります。Standard エディションはサポートしていない機能となります。
●テンプレートの複製や編集
●証明書自動発行
●キーのアーカイブ
(質問)
証明書のテンプレートの使い方について教えてください。
MCP取得のため勉強しているのですが、証明書のテンプレートの使いた方がわかりません。
technetのテンプレートのところの記事などいろいろ見て評価版でためしているのですが、あまり使い方もよく分からないでいます。
環境としてはwin2008にAD CSをEnterprise証明機関のRootCAとしてインストールし、証明機関、証明書、証明書テンプレートのスナップインをいじくっています。
1. ユーザーが証明書要求を作成、送信する手段にはどのようなものがあるのでしょうか?Webでhttp://サーバ名/certsrvにアクセスする方法のみでしょうか。またブラウザによって/certsrvにアクセスしても画面が違ったりして(Chromeなど)証明書要求がうまくいかないのですが。
2. 証明書テンプレートのセキュリティで登録や自動登録というのがありますが登録権限というのはなにでしょうか?
/certsrvで要求できるテンプレートの種類を追加できるということでしょうか?
3. 元からあったテンプレートを複製したテンプレートはプロパティが変更できますが、もとからあるものは変更できないのでしょうか?
4. 証明書のテンプレートがいくつもありますが、Webサーバ、コード署名、スマートカードログオンなど、それらの名前のついたテンプレートはその目的にしか使用できないのでしょうか?
5. グループポリシーの公開キーのポリシーって何に使うんでしょうか?
よければ教えてください。
よろしくおねがいします。
(回答1)
ご質問に、自分の理解している範囲で回答します。
1.ユーザーが証明書要求を作成、送信する手段
Webでhttp://サーバ名/certsrvでアクセスする方法以外にも[証明書]スナップインを使用して証明書を登録する方法もあります。([証明書]スナップインを使用する方法は、スタンドアロンCAではできません。)
たとえば、WebサイトのSSL証明書の要求を証明機関に送信する方法はしたのkbや資料に書かれています。(Atmarkitの資料はスタンドアロンCAのケースですが)
http://support.microsoft.com/kb/298805/ja
http://www.atmarkit.co.jp/fwin2k/win2ktips/919selfssl5/selfssl5.html
http://www.atmarkit.co.jp/fwin2k/win2ktips/920iiscert5/iiscert5.html
2.証明書テンプレートのセキュリティで登録や自動登録
複製した証明書テンプレートに登録と自動登録のアクセス許可を付与するとグループポリシーで証明書の自動登録のポリシーを構成することも可能になります。したのページをみてください。
http://technet.microsoft.com/ja-jp/library/cc753452(WS.10).aspx
/certsrvで要求できるテンプレートの種類を追加できるということではありません。
3.元からあったテンプレートを複製したテンプレートはプロパティが変更できますが、もとからあるものは変更できないのでしょうか?
もとからあるものは変更しないことをお勧めします。複製したテンプレートを変更してください。
4.証明書のテンプレートがいくつもありますが、Webサーバ、コード署名、スマートカードログオンなど、それらの名前のついたテンプレートはその目的にしか使用できないのでしょうか?
はいそのとおりです。
5.グループポリシーの公開キーのポリシーって何に使うんでしょうか?
証明書の自動登録のポリシーの構成など使います。Server 2003のページですがしたをみてください。
http://technet.microsoft.com/ja-jp/library/cc785868(WS.10).aspx
また、したの公式ページや参考書籍のP330~P339あたりにも詳しく書かれています。
公式ページ
http://technet.microsoft.com/ja-jp/library/cc730705.aspx
参考書籍
http://www.amazon.co.jp/gp/product/4798117420/ref=pd_lpo_k2_dp_sr_1?pf_rd_p=466449256&pf_rd_s=lpo-top-stripe&pf_rd_t=201&pf_rd_i=4891006145&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=1F3A138F66H7EP0HY46P
(別の方の回答)
○○です
すでに資料などの情報はでていますが、簡単に補足します。
そもそも、証明書要求の手順は次のステップを踏みます。
1.要求
2.発行
3.インストール
まず要求に関しては紹介されているように
● Web
●MMCのスナップイン(証明書)
●コマンドライン(Certreqなど)
の方法があります。スタンドアロンCAではWebのみをサポートしています。
ブラウザによってうまく動かないものがあるのはその通りです。これはブラウザでCOMオブジェクトまたはActiveXが動きますのでそれらをサポートしているブラウザでないとうまく動きません。ですので基本的にIEを使用することをお勧めします。
Windows Vista または Windows Server 2008 と共に証明書サービス Web 登録ページを使用する方法
http://support.microsoft.com/kb/922706/ja
自動登録とはグループポリシーを使用して、証明書要求の手順である、要求、発行、インストールまで一貫して行うことになります。
証明書テンプレートにはバージョンがあり、現在バージョン3まであります。Windows2000のみで使用できるテンプレートはバージョン1で編集はできません。しかし複製処理を行うことにより、バージョン2,3に変更でき編集が可能になります。
証明書の名前がついたテンプレートはその目的で使用します。しかし、編集を行うことによってさまざまな目的のテンプレート(複数機能)を作成することが可能です。
参考になれば幸いです
(資料)
Windows Serverで学ぶサーバOS入門 ― 第25回
エンタープライズのルート証明機関の構築方法とは?
Windows Server証明書サービスを設定しよう
Windows Serverで学ぶサーバOS入門 ― 第26回
メールの暗号化と署名の付与をしてみよう
Windows ServerのCAでメールを安全に
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/741e697f-aee6-42a4-af64-59284cced8aa
-----------------------------------
(質問)
Windows Server 2008 R2 Standard Editionでの複製した証明書テンプレートを使ってのCSRからのサーバ証明書の発行について
1.やりたいこと
有効期間20年のサーバ証明書を発行したい。
2.現状
Windows Server 2008 R2 Standard Edition ServicePack1に、 ActiveDirectory証明書サービスをインストールしました。http://localhost/certsrv/ にブラウザでアクセスし、CSRの中身をコピーペーストし、「証明書テンプレート」に「Web サーバー」を選択して、サーバ証明書を発行しましたが、有効期間が2年間でした。調べると、
(1)「Web サーバー」のテンプレートの有効期間(=2年間)
(2)レジストリ「ValidityPeriodUnits」の値(現状は「2」)
の値の小さいほうが採用される、とのことでした。
(2)の値は変更可能でした。
(1)については、
http://blog.livedoor.jp/takanari_sato/archives/51593044.htmlのWebページの手順に倣い、「Web サーバー」を複製して有効期間を2年→20年に変更したテンプレートを、新しく作成しました。このWebページのStep22の「新しく作成した証明書テンプレートの発行」 までは実施できました。しかし、その後、http://localhost/certsrv/ の「証明書テンプレート」のプルダウンボックス内に、新しく作成した証明書テンプレートが表示されないため、新しく作成した証明書テンプレートを使ってサーバ証明書が発行できません。
3.質問
新しく作成した証明書テンプレートを使ったサーバ証明書は、どのようにしてCSRから発行すればよいのでしょうか?
また、そもそもStandard Editionでは、新しく作成した証明書テンプレートを使ったCSRからのサーバ証明書の発行は、仕様的に不可能なのでしょうか?
(回答)
したのMSブログなどからStandard Editionでは証明書テンプレートを複製して有効期間を延長したテンプレートを新しく作成することは無理と思いますが。
http://blogs.technet.com/b/jpepscrt/archive/2010/03/18/windows-server-2008-r2-windows-pki.aspx
http://ameblo.jp/synapse-hara/entry-10987718321.html
http://technet.microsoft.com/ja-jp/library/cc740209(v=ws.10).aspx
(うえのページより抜粋)
>証明書サービスのセットアップ時に指定
>ルート CA の有効期間を超えることはできない
(以下、参考)
http://technet.microsoft.com/ja-jp/library/cc730705
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/e63cfe79-2e26-4889-8272-4751e0dd5bc6
-----------------------------------
(質問)
証明書って毎回上位証明書の署名を確認するのでしょうか?
ルート証明書からEFS証明書が発行されているとします。
暗号化とか復号化をするたびに、上位のルート証明書の署名が公開鍵で
あけられることを確認しているのでしょうか?
(回答)
ご質問の件につきましては、したの@ITの資料を読んでみてください。
http://www.atmarkit.co.jp/fnetwork/rensai/pki02/pki01.html
(簡単に抜粋すると)
1.その認証局が自分で発行する
2.さらに上位の認証局が存在し、その認証局が発行する
・「信頼された証明機関」一覧にある証明書の詳細は、発行先と発行元が同じだということ。
・「中間証明機関」による証明書は、発行先と発行元が異なる。証明書の発行元は「信頼された証明機関」のものである。この認証局はさらに上位のルート認証局から証明書の発行を受けた認証局であることを示している。
どの証明書ストアに発行されているかにもよりますが。
(参考MSベージ)
証明書ストアを表示する
http://technet.microsoft.com/ja-jp/library/cc725751(v=ws.10).aspx
証明書ストア
http://technet.microsoft.com/ja-jp/library/cc757138(v=ws.10).aspx
(体系的に学習されたいということでしたら)まず、検証環境としてADを構築し、1台のメンバー(推奨)かDCにエンタープライズルートCAをインストール構築してみれば分かります。
ドメインのグループポリシー暗号化を禁止してなく(既定ではそうなっています。)、回復エージェントの回復証明書が有効期限内であれば、EFS証明書はそのCAでも発行されたことが確認できます。
Webサーバー証明書は、グループポリシーて自動登録ができない証明書テンプレートのバージョン(サーバーOSのエディションにもよる?)ではWebサー バー(IISをインストールしたサーバー)のWebサイトより、CAに対して、手動で発行の要求をします。CAで発行されたWebサイトの証明書をWeb サーバーのWebサイトに手動でインストールするといったフローになります。
自動登録が可能な証明書テンプレートのバージョン(サーバーOSのエディション)についてはすでに他の方が回答されています。(体系的に学習されたいということでしたら、参考書籍や回答されているMSページで学習してください。)
(MSページ)
http://technet.microsoft.com/ja-jp/library/cc725838.aspx
http://technet.microsoft.com/ja-jp/library/cc731429.aspx
ご質問の、上位CAの署名を確認するかにつきましては、
参考書籍で学習され、実際に検証されたうえで、実際にユーザーに対して発行された証明書の「発行者」、「発行先」、「証明書テンプレート」、「有効期間」などを実際にみられて学んでいただくしかありません。
ユーザーに対して発行されたEFS証明書は「発行者」=CA名、「発行先」=暗号化したユーザー名 となっており異なっている。(秘密鍵はユーザーがローカルコンピュー上のフォルダを暗号化した場合は、そのユーザーのローカルコンピュータ上の「個人」の証明書ストアにある。)
Webサーバー証明書は「発行者」=CA名、「発行先」=Webサーバーのコンピュータ名 となっており異なっている。。(秘密鍵はWebサーバーのWebサイトにある。)
となっていましたが。
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/e8a0deb8-dd1c-49f3-bc40-113fd4387704
-----------------------------------
(質問)
EFS証明書の削除の仕方を教えてください。
ユーザにEFSの暗号化の証明書がグループポリシーで配布されています。
コンピュータ再起動でEFS証明書をとりこめるのを確認しました。
コンピュータをオンラインのまま90分くらい放置しておいてもグループポリシーで
証明書がとりこめるのを確認したいです。
起動時にとりこんだ証明書をMMCスナップインの証明書から削除しました。
ですが、まだファイルを暗号化することができます。
EFS証明書の削除の仕方を教えてください。
(回答)
わかる範囲で回答します。
ADで発行した回復エージェントの回復証明書が有効期間内であれば、ドメイン配下のユーザーがネットワーク上の共有フォルダを暗号化した場合には、ADの 証明書ストアにそのユーザーの暗号化証明書が発行されますので、ドメインコントローラでMMCを叩いて「証明書」スナップインからどの証明書ストアに発行 されているのか調べてください。
証明書ストアについてはしたのMSページにあります。
http://technet.microsoft.com/ja-jp/library/cc757138(v=ws.10).aspx
ドメイン配下のユーザーがローカルコンピュータ上のフォルダを暗号化した場合にはローカルコンピュータでMMCを叩いて「証明書」スナップインから調べてください。細かい操作手順ついてはしたのMSページをみてください。
http://msdn.microsoft.com/ja-jp/library/ms788967.aspx
http://technet.microsoft.com/ja-jp/library/cc754431(v=ws.10).aspx
発行した回復エージェントの回復証明書を削除したり、CAで証明書を失効・公開させずにグループポリシーで暗号化をできないようにするのでよいのであればしたの投稿に回答した記憶があります。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008r2ja/thread/b196f122-ca7a-421a-b65f-f6831d861498
ドメインのメンバーサーバー上の共有フォルダであれば、Active Directoryユーザーとコンピュータを開くと、共有フォルダがある該当のコンピュータアカウントで、「委任」→「任意のサービスへの委任でこのコン ピュータを信頼する」に(既定で)チェックがついていないのでネットワーク経由では(既定で)暗号化できません。
ご質問の件については別の識者よりの回答を待たれるか、体系的に勉強したい、というなら、きちんとした書籍を読んでみられてはいかがでしょうか。(例えばしたのようなものがあります。)
http://ec.nikkeibp.co.jp/item/books/A05400.html
※MSの公式な回答ではありませんがしたのブログにあるように、現在のADの回復エージェントの回復証明書を削除すれば現在のユーザーの暗号化証明書は使えなくなります。
http://d.hatena.ne.jp/kiyotune/20081202/1228184290
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/784caa4d-ce18-4172-823c-7b7196741572
-----------------------------------
(質問)
EFSの回復証明書について
ドメインでEFSを使用しているのですが、
回復用のEFS証明書というのはクライアントにEFS証明書を配布する過程で自動でCAサーバにくつられるのでしょうか?それとも手動で作成する必要があるのでしょうか?
良い資料があれば教えてください。
(回答1)
わかる範囲で回答します。資料としてはしたのMSページがあります。
ステップバイステップ ガイド : 暗号化ファイル システムの使用
http://technet.microsoft.com/ja-jp/library/cc973078.aspx
【[HOWTO] Windows Server 2003 Enterprise Server で暗号化ファイル システムを管理する方法】
http://support.microsoft.com/kb/324897/ja
ビルトインアカウントのAdministrator はデフォルトで回復エージェントとはなっていますが、あるユーザーが暗号化したファイルを復号化するにはその回復証明書と秘密キー(.pfxファイル)が 必要です。(ビルトインアカウントのAdministratorの回復証明書には有効期限があります。)
したの投稿に回答した記憶がありますので、詳しいことが知られたいなら御自身で検証環境を作ったうえで検証なさってください。
http://social.technet.microsoft.com/forums/ja-JP/windowsserver2003ja/thread/0a230446-bceb-4108-9ecb-bc08579765a3/
(別の方の回答)
デフォルトの状態では、Administratorが自動でGPOに入ります。
しかし、必ずしもドメインの管理者がEFSの管理者ではありませんので、推奨としてはEFSの管理者を作成し、そのユーザーの証明書を配置することになります。
以上、参考になれば幸いです。
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/b72d57ea-d941-427d-a354-9c0499cbf368PR
