[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
仮想環境にADCSをインストールしていると証明書発行に失敗することがある。
(質問)
失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。
Active Directory 証明書サービスを利用していましたが、突然、認証できない状態となりました。
調査の結果、ログに
"失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。
要求の署名の確認エラーまたは証明書の署名エラー"
というものが存在していましたが、失効サーバーがオフラインになる原因には、どの様な場合が
考えられるのでしょうか?(証明書の有効期限は切れていません。)
宜しくお願い致します。
-----------------------------
(回答)
エラーから考えるにCRLがうまく読み込めていないようですね。
一つの原因として、DELTA CRL がうまく発行されないことが考えられます。
また、同じようなエラーに遭遇した体験談がありました。
以上、参考になれば幸いです。
証明書関連は難解なので、まず信頼おける書籍を熟読し、実機を十分に操作し検証確認してから質問するようにということだろう。
(質問)
証明書テンプレート、自動証明書要求などについて
1Windows2003の証明書テンプレートコンソールをみているのですが、自動登録欄に許可や不許可とあるテンプレートがありますがこれは何を意味するのでしょうか?ここで許可となっているテンプレートがグループポリシーの自動証明書要求で使えるのかなとおもったのですが、許可となっているテンプレートがすべて表示されるわけではないですし。自動証明書要求で要求できる証明書の種類を増やすにはどうすればよいでしょうか?
2証明書の秘密鍵ってどこに保管されるのでしょうか?ドメイン環境だとADのデータベース内??ワークグループだとファイル??
3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?
4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?
5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?
6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?
よければ教えてください。
------------------------------------
(回答1)
○○○○です。
証明書サービスについて、いろいろご質問されていますね。初歩的な内容から細かいところまで、ひとつひとつに答え続けるには、ちょっと時間がありません。体系的に勉強したい、というなら、きちんとした書籍を読まれてみてはどうですか?たとえばしたのようなものがあります。
http://ec.nikkeibp.co.jp/item/books/A05400.html
>2もクライアント証明書についてはたぶん証明書の中に秘密鍵があるんですよね??一般の証明書についてはわかりませんが。
通常使用される証明書はPKCS#7形式ですので、証明書の中に存在するのは公開キーです。
秘密キーはプロファイルの中に存在しています。
>3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?
はその通りです。
>4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?
EFSを使用する際にDRAを使う設定(規定)にしてあれば、その通りです。
>5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?
全ての証明書に存在します。CRL配布ポイント(CDP)より各クライアントはダウンロードして確認します。
>6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?
証明機関を管理できますとしか答えようがありません。
いろいろとご質問されていますが、一旦ご自分で調べてみてはいかがでしょうか?その方が理解度が増すと思われます。特に○○○○さんがご紹介されている本は良書ですよ。私も持っています。証明書関連はやはり難しいのでこのような書籍をご一読された方がよろしいかと思われます。
以上、参考になれば幸いです。
(参考:個人の方のブログ)
EFSの動作に関して-MCTの憂鬱
(マイクロソフト公式解説書)
Microsoft Windows Server 2008 PKI & 認証セキュリティ大全 (マイクロソフトITプロフェッショナルシリーズ)
WEB検索するとしたのページが見つかったがいずれも違うような気がする。
http://support.microsoft.com/kb/300867/ja
http://technet.microsoft.com/ja-jp/windowsserver/cc980791.aspx
(質問)
証明書 WEB登録サービスから証明書のダウンロードに失敗する。
Windows2000で運用中の証明書サーバーのWindows2003へアップグレードを行いました。構成は、CAサーバーとWEB配布サーバーでサーバーは2つ利用しています。
アップグレード前は、配布サーバーとCAから両方ダウンロードできたのですが、アップグレード後は出来なくなってしまいました。
CAのWEBページからはダウンロードできるのですが、配布サーバー(WEB登録サポート)からは、証明書をCAにもらいに行く処理のところで下記のエラーが発生します。(WEBページは、表示されます。)
要求モード:
newreq - 新しい要求
ディスポジション:
(未使用)
ディスポジションメッセージ:
(なし)
結果:
アクセスが拒否されました。 0x80070005 (WIN32: 5)
COM エラー情報:
CCertRequest::Submit アクセスが拒否されました。 0x80070005 (WIN32: 5)
最後の状態:
この操作を正しく終了しました。 0x0 (WIN32: 0)
原因:
証明機関サービスは開始されていません。
配布サーバーから、CAのWEBページをアクセスして証明書はダウンロードできます。そのため、証明機関サービスも実行されています。
何か、ごぞんじのかた教えてください。
証明機関の削除および再構築は、結構難解である。
(質問)
失効したエンタープライズPKIの削除
○○○○様
お世話になります。
状況説明がなっておらず申し訳ございません。
ルート認証局として稼動させていたドメインコントローラがクラッシュしまして、違うマシンにてドメインコントローラを再構築し、ルート証明書も新たに構築しました。環境は下記になります。
DC(A):windows2003server
役割:スキーママスタ、ルート証明局
DC(B):Windows2008server
役割:移行用
DC(C):Windows2003server R2
役割:中間証明局
クラッシュですが人為的な事故でして、DCのホスト名変更(Aを降格するため、Bの名称をAに変更)を試みて失敗してしまいDC(B)がActiveDirecotoryにアクセスできなくなってしまいました。
降格する前にDC(A)からはルート証明書をアンインストールしていました。
※DC(C)の中間証明局は削除せずに残していました。
DC(A)は降格した後であり、復旧することはできなかったため、DC(B)を再セットアップしました。
そのため、ルート証明書は新たに作り直しております。
証明機関を起動するとルート証明書が格納されたフォルダが表示され、自分が作成した「New Root CA」がありますが、、これとは他に「エンタープライズPKIというフォルダができており、そこに以前の失効した「old root CA」があります。それを削除することができません。期限切れとでてきてしまいます。
中間証明局をアンインストールせずにネットワークに残したまま、ルートCAの再構築を始めてしまったのでそれでおかしくなってしまったのかもしれないと考えています。
ルート証明局、中間証明局をアンインストールしてもう一度再構築することで削除することは可能でしょうか。
--------------------------
(回答)
○○○○です。
参考情報として、証明機関を削除する方法について、MSの資料を紹介しておきます。ただし、(安易に実行されることはないでしょうが)MSの有償サポートなど「きちんとわかるエンジニア」の指示で作業されることを、強くお奨めします。
実際はうえの作業を行なった後、したの情報を完全に削除しないと、クリーンな状態にできないでしょう。
・CA データベース
・CA の公開キーと秘密キー
・個人ストア内の CA の証明書
・共有フォルダー内の CA の証明書 (AD CS のセットアップ時に共有フォルダーを指定した場合)
・信頼されたルート証明機関ストア内の CA チェーンのルート証明書
・中間証明機関ストア内の CA チェーンの中間証明書
・CA の CRL
状況によっては CA に関する Active Directory オブジェクトを手動で削除する必要があるときがあります。そのような場合は、したのページのような対応が必要です。
使用していないオブジェクトを Active Directory コンテナーから削除する
Windows Server 2003 の証明書サービスの削除については、したのページが役立つでしょう。
Windows エンタープライズ証明機関の使用を停止する方法と、Windows Server 2003 および Windows 2000 Server から関連するすべてのオブジェクトを削除する方法
MVP○○○○氏とMVP××××氏はお互いの回答を補足し合っている。一種のライバル関係なのか?
(質問1)
その他の証明書を要求するにはどうすればよいでしょうか?
証明書テンプレートにはいろいろなテンプレート表示名のテンプレートがあります。
証明書の要求ウィザードで証明書を要求しようとすると、証明書の種類にはEFS回復エージェント、EFS基本、ユーザ、管理者しか表示されません。その他の証明書を要求するにはどうすればよいでしょうか?
(回答1)
○○○○です。
そういった場合ですが、Windows証明機関について、ポリシーで発行可能な証明書テンプレートをインストールしてからグループポリシーで展開することになるはずです。こまかいところは、したの KB を確認してみてください。
[HOWTO] Windows のグループ ポリシーで自動証明書要求を作成する方法
(補足1)
××××です
○○○○さんに補足します
基本的に証明書要求を行うと、証明機関において証明書テンプレートの登録がしてあるものが表示されます。デフォルトでは数個しか証明書テンプレートは登録されていないことが確認できますね
ですので、もしその他の証明書を表示される(使用する用途がある)なら[証明機関]の[証明書テンプレート]より、[発行する証明書テンプレート]を選択し登録する必要があります。これで初めてユーザーが要求をできる状態になります。
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア