実践「AD FS 2016」を使って「Office 365」とのSSO評価環境構築:AD CS構築編AD FSを使ったSaaSとのSSO環境構築(4)(2/3 ページ)

» 2018年07月10日 05時00分 公開
[増田裕正富士ソフト株式会社]

証明書失効リスト配布の設定

 AD CSから発行される証明書失効リストの格納先フォルダを構成して、格納された失効リストをIISで公開し、「CRL Distribution Point」(CRL配布点)を構築します。

  • 1:作業用PCの[リモート デスクトップ接続]を使用し、仮想マシンadcs001に接続します
  • 2:仮想マシンadcs001上で、ローカルディスクにフォルダを作成。今回はCドライブに「crldist」フォルダを作成します
  • 3:[crldist]フォルダを選択し、右クリックメニューの[共有]−[特定のユーザー...]を選択します
  • 4:[ファイルの共有]ダイアログの入力項目に、「cert publishers」と入力し、[追加]を選択します
  • 5:表示されたリストから[cert publishers]を選択。[アクセス許可のレベル]を[読み取り/書き込み]に変更し、[共有]を選択します
  • 6:[crldist]フォルダを選択し、右クリックメニューの[共有]−[特定のユーザー...]を選択します
  • 7:[ファイルの共有]ダイアログの入力項目に、「everyone」と入力し、[追加]を選択します
  • 8:表示されたリストから[everyone]を選択。[アクセス許可のレベル]を[読み取り]に変更し、[共有]を選択します
  • 9:[スタート]−[Windows 管理ツール]−[インターネット インフォメーション サービス (IIS) マネージャー]を選択します
  • 10:[adcs001]−[サイト]−[Default Web Site]−[Default Web Site ホーム]−[ディレクトリの参照]を選択し、[操作]−[機能を開く]を選択します
図表22 ディレクトリの参照の選択
  • 11:[ディレクトリの参照]−[操作]−[有効にする]を選択します
図表23 IIS のディレクトリの参照設定画面
  • 12:[adcs001]−[サイト]−[Default Web Site]を選び、[操作]−[仮想ディレクトリの表示]を選択します
図表24 [仮想ディレクトリの表示]の選択
  • 13:[操作]−[仮想ディレクトリの追加]を選択します
  • 14:[エイリアス]に「crldist」、[物理パス]に「C:\crldist」を入力し、[OK]を選択します
図表25 仮想ディレクトリの追加
  • 15:[adcs001]−[サイト]−[Default Web Site]−[crldist]−[crldist ホーム]−[要求フィルター]を選択し、[操作]−[機能を開く]を選択します
図表26 要求フィルターの選択
  • 16:[操作]−[機能設定の編集]を選択します
  • 17:[要求フィルター設定の編集]−[全般]の[ダブル エスケープを許可する]を選び、[OK]を選択します
  • 18:[スタート]−[Windows 管理ツール]−[証明機関]を選択します
  • 19:[証明機関(ローカル)]−[masuda-adcs001-ca]−[操作]−[プロパティ]を選択します
  • 20:[拡張機能]タブの[拡張機能を選択してください]で[CRL 配布ポイント (CDP)]を選択します
  • 21:[ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください]で[追加]を選択します
図表27 CRL配布点の追加
  • 22:[場所の追加]−[場所]に「\\<証明書失効リストの格納先コンピュータ名>\<証明書失効リストの格納先共有フォルダ名>\」を入力。今回は「\\adcs001\crldist\」と入力します
  • 23:[変数]から、「<CaName>」「<CRLNameSuffix>」「<DeltaCRLAllowed>」を選択し、それぞれ[挿入]を選択します
図表28 変数の挿入方法
  • 24:[場所]の末尾に「.crl」を入力します
  • 25:[場所]に以下が設定されていることを確認し、[OK]を選択します。「\\<証明書失効リストの格納先コンピュータ名>\<証明書失効リストの格納先共有フォルダ名>\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」。今回は「\\adcs001\crldist\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」と表示されています
図表29 追加した場所の確認
  • 26:[ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください]で、手順25で追加したアドレス(今回は「\\adcs001\crldist\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」)を選択。[この場所に CRL を公開する]と[Delta CRL をこの場所に公開する]を選び、[適用]を選択します
図表30 CRL配布点の設定
  • 27:サービスの再起動確認ダイアログで、[はい]を選択します
  • 28:[ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください]で[追加]を選択します
  • 29:[場所]に「http://<CRL配布点の外部公開用FQDN(絶対ドメイン名)>/<証明書失効リストの格納先共有フォルダ名>/」を入力します。今回は「http://cdp.masuda.work/crldist/」を入力します
  • 30:[変数]から「<CaName>」「<CRLNameSuffix>」「<DeltaCRLAllowed>」を選択し、それぞれ[挿入]を選択します
  • 31:[場所]の末尾に「.crl」を入力します
  • 32:[場所]に以下が設定されていることを確認し、[OK]を選択します。「http://<CRL配布点の外部公開用FQDN>/<証明書失効リストの格納先共有フォルダ名>/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」。今回は「http://cdp.masuda.work/crldist/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」と表示されます
  • 33:[ユーザーが証明書失効リスト (CRL) を入手できる場所を指定してください]で、手順32で追加したURL(今回は「http://cdp.masuda.work/crldist/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl」)を選択し、[CRLに含め、クライアントはこれを使って Delta CRL の場所を検索する]と[発行された証明書の CDP 拡張機能に含める]を選び、[OK]を選択します
  • 34:サービスの再起動確認ダイアログで、[はい]を選択します
  • 35:証明機関の[証明機関(ローカル)]−[masuda-adcs001-ca]−[失効した証明書]を選択し、[操作]−[すべてのタスク]−[公開]を選択します
  • 36:CRLの公開ダイアログで、[公開する CRL の種類]−[新しい CRL]を選択し、[OK]を選択します
  • 37:Webブラウザから「http://adcs001/crldist」へアクセスし、失効リストファイルが参照できることを確認します
図表31 Webブラウザでの確認
  • 38:エクスプローラーから「\\adcs001\crldist」にアクセスし、失効リストファイルが参照できることを確認します
図表32 エクスプローラーでの確認

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。