検索
連載

Active Directory証明書サービスでセキュアな公開鍵基盤を構築する(2)基礎から学ぶサーバーマネージャーの使い方(11)(2/3 ページ)

前回は「Active Directory証明書サービス(AD CS)」の設計について解説した。今回は、その設計を反映したAD CSの構築手法を解説する。

Share
Tweet
LINE
Hatena

CDPとAIAの公開ポイントを構成する

 続いて、証明書を発行する際に付与される「CDP(CRL Distribution Point:CRL配布ポイント)」と「AIA(Authority Information Access:機関情報アクセス)」を構成する。

  • CDP(CRL配布ポイント):発行CAの証明書失効リスト(CRL)を公開する場所を指定する
  • AIA(機関情報アクセス):発行CAの証明書を公開する場所を指定する

 今回は、発行CAにWebサーバーを構築して「CertData」サブフォルダーを作成し、そこにCDPとなる「.crl」ファイルとAIAとなる「.crt」ファイルを配置する。配置手順は、以下の通り。

(1)スタートメニューから「証明機関」を起動し、「certsrv−[証明機関(ローカル)]」コンソールの左ペインにある「RootCA」を右クリックして「プロパティ」を選択する。

(2)「RootCAのプロパティ」ダイアログボックスが開くので、「拡張機能」タブに移動する。

(3)「拡張機能」タブにある「拡張機能を選択してください」ドロップダウンリストボックスで「CRL配布ポイント(CDP)」を選択して、「追加」をクリックする。

(4)「場所」テキストボックスに発行CAのURL「http://srv03.adatum.com/CertData/」を入力し、「変数」ドロップダウンリストボックスで「<CaName>」を選択して、「挿入」をクリックする。

(5)「変数」ドロップダウンリストボックスで「<CRLNameSuffix>」を選択して、「挿入」をクリックする。

(6)「変数」ドロップダウンリストボックスで「<DeltaCRLAllowed>」を選択して、「挿入」をクリックする。

(7)「場所」テキストボックスに入力したURLの末尾にカーソルを置き、「.crl」と入力して「OK」をクリックする。

(8)以下のオプションを選択して、「適用」をクリックする(画面3)。

  • CRLに含め、クライアントはこれを使ってDelta CRLの場所を検索する
  • 発行された証明書のCDP拡張機能に含める
画面3
画面3 「RootCAのプロパティ」の「拡張機能」タブで「CRL配布ポイント(CDP)」を構成する

(9)証明機関ポップアップウィンドウが立ち上がるので、「いいえ」をクリックする。

(10)今度は、「拡張機能を選択してください」ドロップダウンリストボックスで「機関情報アクセス(AIA)」を選択して、「追加」をクリックする。

(11)「場所」テキストボックスに「http://srv03.adatum.com/CertData/」と入力し、「変数」ドロップダウンボックスで「<ServerDNSName>」を選択して、「挿入」をクリックする。

(12)「場所」テキストボックスでURLの末尾にカーソルを置き、アンダースコア(_)を入力し、「変数」ドロップダウンリストボックスで「<CaName>」を選択して、「挿入」をクリックする。

(13)「変数」ドロップダウンリストボックスで「<CertificateName>」を選択して、「挿入」をクリックする。

(14)「場所」テキストボックスに入力したURLの末尾にカーソルを置き、「.crt」と入力して「OK」をクリックする。

(15)「発行された証明書のAIA拡張機能に含める」チェックボックスをオンにして、「OK」をクリックする(画面4)。

画面4
画面4 CDPと同様に、「RootCAのプロパティ」の「拡張機能」タブで「機関情報アクセス(AIA)」を構成する

(16)「はい」をクリックして、証明機関サービスを再起動する。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る