ドメイン環境を外部からの攻撃を保護するために、ネットワークの経路上にファイアー ウォールが設置されている環境も多いかと思います。
エンタープライズ CA はドメインの機能を利用して、証明書の発行の処理を行います。ファイアー ウォールにより、ドメイン環境で利用する通信やエンタープライズ CA で利用する通信をブロックされると、機能が正常に利用できません。
ドメイン コントローラー、エンタープライズ CA、クライアント端末の間のネットワーク経路上にファイアー ウォールがある場合は、機能にて利用されるポートやサービスの例外を設定して、必要な通信を許可する必要があります。
今回は、ドメイン環境にて、エンタープライズ CA を利用する場合に利用する通信ポートについて紹介します。
エンタープライズ CA の構成
エンタープライズ CA は “Active Directory ドメイン サービス” の機能と連携しています。
“Active Directory ドメイン サービス” と連携して、CA 証明書の配布、証明書の発行を行うことができます。また、エンタープライズ CA ではドメイン コントローラー上に AIA、CDP を展開されるため、ドメイン環境にて簡易に CA サーバーを構成にできます。
このように、”Active Directory ドメイン サービス” の機能と連携しているため、CA 証明書を入手したり、証明書の発行要求を行う場合、クライアント端末はまずはドメイン コントローラーへアクセスします。ドメイン コントローラーにアクセスして、エンタープライズ CA の情報を入手し(サーバーの場所や発行できる証明書の種類など)、CA サーバーに発行要求を行う流れとなります。
また、エンタープライズ CA も CA 情報をドメイン コントローラー上で管理しております。
そのため、エンタープライズ CA にあたり、ドメイン コントローラーへの通信も発生する動作になります。
上記のような構成になっているため、ドメイン コントローラー、CA サーバー、クライアント端末の間で通信が発生します。そのため、経路上にファイアー ウォールがある場合、エンタープライズ CA に利用する通信ポートを開放する必要があります。
ポート要件
エンタープライズ CA を利用する場合、利用される通信ポートの要件は以下の通りです。
クライアントとドメイン コントローラー間で開放が必要なポート
クライアント端末と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。
|
サービス |
プロトコル |
送信元ポート |
宛先ポート (DC側) |
|
DNS |
TCP/UDP |
一時ポート* |
53 |
|
Kerberos |
TCP/UDP |
一時ポート* |
88 |
|
NTP |
UDP |
123 |
123 |
|
RPC |
TCP |
一時ポート* |
135 |
|
RPC |
TCP |
一時ポート* |
49152 – 65535 |
|
NetBIOS-ns |
UDP |
137 |
137 |
|
NetBIOS-dgm |
UDP |
138 |
138 |
|
NetBIOS-ssn |
TCP |
一時ポート* |
139 |
|
LDAP |
TCP/UDP |
一時ポート* |
389 |
|
SMB |
TCP |
一時ポート* |
445 |
|
Kpassword |
TCP/UDP |
一時ポート* |
464 |
|
LDAP SSL |
TCP |
一時ポート* |
636 |
|
LDAP GC |
TCP |
一時ポート* |
3268 |
|
LDAP GC SSL |
TCP |
一時ポート* |
3269 |
クライアントと CA 間で開放が必要なポート
クライアント端末と、エンタープライズ CA の間の経路で開放が必要なポート一覧です。
|
サービス |
プロトコル |
送信元ポート |
宛先ポート (DC側) |
|
RPC |
TCP |
一時ポート* |
135 |
|
RPC |
TCP |
一時ポート* |
49152 – 65535 |
|
HTTP |
TCP |
一時ポート* |
80 |
|
HTTPS |
TCP |
一時ポート* |
443 |
|
SMB |
TCP |
一時ポート* |
445 |
ドメイン コントローラー間で開放が必要なポート
クライアント端末と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。
|
サービス |
プロトコル |
送信元ポート |
宛先ポート (DC側) |
|
DNS |
TCP/UDP |
一時ポート* |
53 |
|
Kerberos |
TCP/UDP |
一時ポート* |
88 |
|
NTP |
UDP |
123 |
123 |
|
RPC |
TCP |
一時ポート* |
135 |
|
RPC |
TCP |
一時ポート* |
49152 – 65535 |
|
LDAP |
TCP/UDP |
一時ポート* |
389 |
|
SMB |
TCP |
一時ポート* |
445 |
|
DFSR |
TCP |
一時ポート* |
5722 |
CA とドメイン コントローラー間で開放が必要なポート
エンタープライズ CA と、ドメイン コントローラーの間の経路で開放が必要なポート一覧です。
|
サービス |
プロトコル |
送信元ポート |
宛先ポート (DC側) |
|
DNS |
TCP/UDP |
一時ポート* |
53 |
|
Kerberos |
TCP/UDP |
一時ポート* |
88 |
|
NTP |
UDP |
123 |
123 |
|
RPC |
TCP |
一時ポート* |
135 |
|
RPC |
TCP |
一時ポート* |
49152 – 65535 |
|
LDAP |
TCP/UDP |
一時ポート* |
389 |
|
SMB |
TCP |
一時ポート* |
445 |
Windows XP および Windows Server 2003:1025 – 5000
Windows Vista および Windows Server 2008 以降:49152 – 65535