【AD CS】CDP に HTTP パスの追加

証明書に記載されている CDP は、失効させた証明書のリストである CRL を公開している場所のことです。

Active Directory 証明書サービスで構築した証明機関では、既定では CDP に HTTP パスを利用することはできません。
そのため、CDP に HTTP パスを追加するためには、設定を変更する必要があります。

今回は “証明機関 Web 登録” の機能を利用して、CA サーバーを構築している Windows サーバー上に Web サーバーを構築して Web サーバー上に CRL を公開して CDP に HTTP パスを追加する手順を紹介します。
“証明機関 Web 登録” を利用することで、CDP に HTTP パスを簡易的に設定することができます。

 

環境

TEST01DC01
OS:Windows Server 2016
ドメイン コントローラー(test01.local)として動作

CA01
OS : Windows Server 2016
ドメイン参加し、エンタープライズ CA を構築

PC01
OS : Windows 10
クライアント端末でドメイン参加済み

今回はエンタープライズ CA 上での動作確認をしておりますが、スタンドアロン CA でも設定手順は同様です。

 

証明機関 Web 登録のインストール

CA サーバーに証明機関 Web 登録の役割をインストールし、CDP に HTTP パスを追加します。

1) CA サーバーに管理者権限をもつユーザーでログオンします。

2) [サーバー マネージャー] を開き、[管理] より [役割と機能の追加] をクリックします。

 

3) [開始する前に] にて、[次へ] をクリックします。

 

4) [インストールの種類の選択] にて、[役割ベースまたは機能ベースのインストール] を選択した状態で、[次へ] をクリックします。

 

5) [対象サーバーの選択] にて、[サーバー プールからサーバーを選択] にて対象のサーバーが選択されていることを確認し、[次へ] をクリックします。

 

6) [サーバーの役割の選択] の項目にて、[Active Directory 証明書サービス] を展開して、[証明機関 Web 登録] のチェックボックスを有効にします。

 

7) [役割と機能の追加ウィザード] にて、[機能の追加] をクリックします。 [管理ツールを含める(存在する場合)] のチェックボックスも有効の状態にしてください。

 

8) [サーバーの役割の選択] にて、[次へ] をクリックします。

 

9) [機能の選択] にて、そのままの状態で [次へ] をクリックします。

 

10) [Web サーバーの役割 (IIS)] にて、そのまま [次へ] をクリックします。

 

11) [役割サービスの選択] にて、そのまま [次へ] をクリックします。

 

12) [インストール オプションの確認] にて、[インストール] をクリックします。

 

13) [インストールの進捗状況] にて、[対象のサーバーに Active Directory 証明書サービスを構成する] をクリックします。

 

14) [資格情報] にて、[資格情報] の枠に管理者権限を保持するユーザーが入力されていることを確認し、[次へ] をクリックします。
※自動でログオンユーザーが補完されます。もしログオンユーザー が管理者権限を保持していない場合は、[変更] をクリックして対象の権限を保持している資格情報(ユーザー名とパスワード)を入力します。

 

15) [役割サービス] にて、[証明機関 Web 登録] のチェックボックスを有効にして、[次へ] をクリックします。

 

16) [確認] にて、[構成] をクリックします。

 

17) [結果] にて、”構成に成功しました” と表示されていることを確認したら、[閉じる] をクリックします。

 

 

CDP に HTTP パスを追加

1) [Windows 管理ツール] より [証明機関] を開きます。

2) 画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] をクリックして [プロパティ] をクリックします。

 

3) [拡張機能] のタブを選択して、以下の通りに設定し、[適用] をクリックします。

拡張機能を選択してください:”CDP 配布ポイント (CDP)”

ユーザーが証明書失効リスト(CRL)を入手できる場所を指定してください
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

オプション:
[CRL に含め、クライアントはこれを使って Delta CRL の場所を検索する] を有効
[発行された証明書の CDP 拡張機能に含める] を有効

※この設定を反映させるためには、Active Directory 証明書サービスの再起動が必要です。
    適用をクリックすると、以下のメッセージが表示されます。

 

変更を有効にするには、Active Directory 証明書サービスを再起動しなければなりません。サービスを再起動しますか?

 

この設定を発行された後に発行された証明書の CDP に HTTP パスが記載されます。

 

証明書の確認

CDP に HTTP パスを追加する設定をした後に、証明書を発行して CDP の項目を確認します。
下図の赤枠のように、CDP (CRL 配布ポイント) に HTTP パスが追加されていることが確認できます。