Active Directory証明書サービスでセキュアな公開鍵基盤を構築する(2):基礎から学ぶサーバーマネージャーの使い方(11)(2/3 ページ)
前回は「Active Directory証明書サービス(AD CS)」の設計について解説した。今回は、その設計を反映したAD CSの構築手法を解説する。
CDPとAIAの公開ポイントを構成する
続いて、証明書を発行する際に付与される「CDP(CRL Distribution Point:CRL配布ポイント)」と「AIA(Authority Information Access:機関情報アクセス)」を構成する。
- CDP(CRL配布ポイント):発行CAの証明書失効リスト(CRL)を公開する場所を指定する
- AIA(機関情報アクセス):発行CAの証明書を公開する場所を指定する
今回は、発行CAにWebサーバーを構築して「CertData」サブフォルダーを作成し、そこにCDPとなる「.crl」ファイルとAIAとなる「.crt」ファイルを配置する。配置手順は、以下の通り。
(1)スタートメニューから「証明機関」を起動し、「certsrv−[証明機関(ローカル)]」コンソールの左ペインにある「RootCA」を右クリックして「プロパティ」を選択する。
(2)「RootCAのプロパティ」ダイアログボックスが開くので、「拡張機能」タブに移動する。
(3)「拡張機能」タブにある「拡張機能を選択してください」ドロップダウンリストボックスで「CRL配布ポイント(CDP)」を選択して、「追加」をクリックする。
(4)「場所」テキストボックスに発行CAのURL「http://srv03.adatum.com/CertData/」を入力し、「変数」ドロップダウンリストボックスで「<CaName>」を選択して、「挿入」をクリックする。
(5)「変数」ドロップダウンリストボックスで「<CRLNameSuffix>」を選択して、「挿入」をクリックする。
(6)「変数」ドロップダウンリストボックスで「<DeltaCRLAllowed>」を選択して、「挿入」をクリックする。
(7)「場所」テキストボックスに入力したURLの末尾にカーソルを置き、「.crl」と入力して「OK」をクリックする。
(8)以下のオプションを選択して、「適用」をクリックする(画面3)。
- CRLに含め、クライアントはこれを使ってDelta CRLの場所を検索する
- 発行された証明書のCDP拡張機能に含める
(9)証明機関ポップアップウィンドウが立ち上がるので、「いいえ」をクリックする。
(10)今度は、「拡張機能を選択してください」ドロップダウンリストボックスで「機関情報アクセス(AIA)」を選択して、「追加」をクリックする。
(11)「場所」テキストボックスに「http://srv03.adatum.com/CertData/」と入力し、「変数」ドロップダウンボックスで「<ServerDNSName>」を選択して、「挿入」をクリックする。
(12)「場所」テキストボックスでURLの末尾にカーソルを置き、アンダースコア(_)を入力し、「変数」ドロップダウンリストボックスで「<CaName>」を選択して、「挿入」をクリックする。
(13)「変数」ドロップダウンリストボックスで「<CertificateName>」を選択して、「挿入」をクリックする。
(14)「場所」テキストボックスに入力したURLの末尾にカーソルを置き、「.crt」と入力して「OK」をクリックする。
(15)「発行された証明書のAIA拡張機能に含める」チェックボックスをオンにして、「OK」をクリックする(画面4)。
(16)「はい」をクリックして、証明機関サービスを再起動する。
Copyright © ITmedia, Inc. All Rights Reserved.