実運用においてドメイン環境でプライベートな証明機関を構築する場合、利便性からエンタープライズ CA を利用して構築されているケースが多いです。 しかし、エンタープライズ CA でルート証明機関を構築すると、常時、社内ネットワークと接続した状態で運用する必要があり、ルート証明機関の秘密キーが漏洩してしまうリスクが高くなってしまいます。 そのため、ルート証明機関の秘密キーの漏洩を防ぐために、ルート証明 […]
事象 Active Directory 証明機関で下位証明機関を構成した後、ルート証明機関から手動で発行した下位の CA 証明書をインストールする時に、以下のメッセージが表示されて起動に失敗することがあります。 証明書チェーンを構成するための CN=”<ルート証明機関の CA 名>” の証明書が見つかりません。証明書をインストールしますか?証明書チェーンを信頼さ […]
事象 下位証明機関において、Active Directory 証明書サービスを起動したら、以下のメッセージが表示されて起動に失敗することがあります。 失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) また下位証明機関において、CA 証明書をインストールする時 […]
スタンドアロン CA は Active Directory ドメイン サービスとは連携しない、Windows Server OS 上に構成するシンプルな証明機関となります。 スタンドアロン CA はドメインに参加している Windows Server OS 上でも、ワークグループの Windows Server OS のどちらにも構築することができます。 今回は以下の構成でスタンドアロン CA を […]
エンタープライズ CA は Active Directory ドメイン サービスと連携した証明機関となります。 そのため、エンタープライズ CA はドメインに参加している Windows Server OS 上に構築する必要があります。 今回は以下の構成でエンタープライズ CA を構築する手順を説明します。 ドメイン コントローラー 1 台 ドメイン メンバー (サーバー OS) 1 台 ドメイン […]
Active Directory 証明書サービスでは、CA の種類として “エンタープライズ” と “スタンドアロン” があります。エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられます。 エンタープライズ CA では、証明書を発行する時に証明書テンプレートを指定して発行する必要があるため、& […]
Active Directory ドメイン サービス(AD DS) とは、企業や組織内でユーザーアカウントやコンピューター、ネットワークリソース(共有フォルダー、プリンターなど)を一元的に管理するための仕組みです。システム管理者が効率よく管理・運用を行うために欠かせない機能です。 Active Directory は、Windows 2000 Server 以降の Windows Server O […]
Windows Server OS には、「Active Directory 証明書サービス(AD CS)」という役割が用意されています。この機能をインストールすることで、組織内で利用するプライベートな認証局(CA:Certificate Authority)を簡単に構築できます。 AD CS を導入することで、ユーザー証明書やサーバー証明書などを自社内で発行・管理でき、社内システムやデバイス間の […]
前回の講座 前回は「デジタル証明書」とは何なのか?という説明をしました。「デジタル証明書」の技術的な仕組みや、実際の利用方法について理解を深めることができたかと思います。 今回は PKI 講座の最終回として、「デジタル証明書」を発行する「証明機関」について概要を紹介します。 証明機関とは デジタル証明書は 「自分のもっている公開鍵の正当性を、信頼できる第三 […]
前回の講座 前回は、公開鍵暗号化方式とハッシュアルゴリズムの仕組みを組み合わせた、デジタル署名の仕組みについて説明しました。デジタル署名の仕組みを利用すると、データの送信元の認証とデータの完全性が保証することができます。ただし、その条件として、公開鍵が正当なものである必要があります。公開鍵の正当性を保証する仕組みとして、「デジタル証明書」が利用されます。 今回は、「デジタル証明書」に […]
