実運用においてドメイン環境でプライベートな証明機関を構築する場合、利便性からエンタープライズ CA を利用して構築されているケースが多いです。 しかし、エンタープライズ CA でルート証明機関を構築すると、常時、社内ネットワークと接続した状態で運用する必要があり、ルート証明機関の秘密キーが漏洩してしまうリスクが高くなってしまいます。 そのため、ルート証明機関の秘密キーの漏洩を防ぐために、ルート証明 […]
事象 Active Directory 証明機関で下位証明機関を構成した後、ルート証明機関から手動で発行した下位の CA 証明書をインストールする時に、以下のメッセージが表示されて起動に失敗することがあります。 証明書チェーンを構成するための CN=”<ルート証明機関の CA 名>” の証明書が見つかりません。証明書をインストールしますか?証明書チェーンを信頼さ […]
事象 下位証明機関において、Active Directory 証明書サービスを起動したら、以下のメッセージが表示されて起動に失敗することがあります。 失効サーバーがオフラインのため、失効の関数は失効を確認できませんでした。 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) また下位証明機関において、CA 証明書をインストールする時に以下のエラー […]
スタンドアロン CA は Active Directory ドメイン サービスとは連携しない、Windows Server OS 上に構成するシンプルな証明機関となります。 スタンドアロン CA はドメインに参加している Windows Server OS 上でも、ワークグループの Windows Server OS のどちらにも構築することができます。 今回は以下の構成でスタンドアロン CA を […]
エンタープライズ CA は Active Directory ドメイン サービスと連携した証明機関となります。 そのため、エンタープライズ CA はドメインに参加している Windows Server OS 上に構築する必要があります。 今回は以下の構成でエンタープライズ CA を構築する手順を説明します。 – ドメイン コントローラー 1 台 – ドメイン メンバー (サ […]
Active Directory 証明書サービスでは、CA の種類として “エンタープライズ” と “スタンドアロン” があります。エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられます。 エンタープライズ CA では、証明書を発行する時に証明書テンプレートを指定して発行する必要があるため、& […]
Active Directory ドメイン サービスとは、組織でシステム管理者が、組織内のユーザーやリソースを管理するためのサービスです。 Active Directory は Windows 2000 Server から標準で導入されており、追加のライセンス購入などは必要なく導入することができます。Active Directory のドメイン環境を構築するには、Windows Server OS […]
Windows Server OS にて「Active Directory 証明書サービス」という役割があります。 この機能をインストールすれば、簡単にプライベートの証明機関を構築することができます。 今回は「Active Directory 証明書サービス」の概要について紹介します。 Active Directory 証明書サービス (AD CS) Windows Server O […]
前回の講座 前回は「デジタル証明書」とは何なのか?という説明をしました。「デジタル証明書」の技術的な仕組みや、実際の利用方法について理解を深めることができたかと思います。 今回は PKI 講座の最終回として、「デジタル証明書」を発行する「証明機関」について概要を紹介します。 証明機関とは デジタル証明書は 「自分のもっている公開鍵の正当性を権威のある機関に […]
前回の講座 前回は、公開鍵暗号化方式とハッシュアルゴリズムの仕組みを組み合わせた、デジタル署名の仕組みについて説明しました。デジタル署名の仕組みを利用すると、データの送信元の認証とデータの完全性が保証することができます。ただし、その条件として、公開鍵が正当なものである必要があります。公開鍵の正当性を保証する仕組みとして、「デジタル証明書」が利用されます。 今回は、「デジタル証明書」に […]
