- PR -

W2K3でのCAの運用

1
投稿者投稿内容
ぴんぴん
大ベテラン
会議室デビュー日: 2004/05/07
投稿数: 141
投稿日時: 2004-08-19 00:56
W2K3でドメインを組んで、CAを立ててみています。おおむね動いてはいるの
ですが、完全ではないと思われます。

1.新規マシンを登録した場合、CAがデフォルトで利用可能にはなっていません。
CAのcertenrollにある証明書を、手で信頼されたルート証明機関に登録することに
より、CAからマシン証明書などの発行を受けることができますが、これはたぶん
正常な運用ではないと思います。本当はどうするものなのでしょう。
ちなみに、CAが稼動しているマシンは、マスターのDCで、当該マシンはCert
publisherのメンバーです。

2.特定のマシンで、マシン証明書の発行を受けられないことがあります。
ISA2004を試そうと思ったマシン(W2K3 Std)でこの現象が発生しました。mmcから、
証明書の要求までは行くのですが
−−
以下のどれかが理由で、証明書要求に失敗しました
・証明書要求が、開始されていないCAに提出された
・利用可能なCAから証明書を要求する権限が無い
−−−
というメッセージが出て、マシン証明書取得ができません。証明書が無いとVPNの
構成に問題が出そうですので、ちょっと困ります。当該CAは動作しているものと
思われますし、ログインユーザーはドメインのadministratorです。同様の環境の
別マシンでは、問題なくコンピュータ証明書の取得ができました。
どのような問題が想定されるものでしょうか。
いけぴょん
会議室デビュー日: 2004/01/13
投稿数: 4
投稿日時: 2006-06-05 12:22
引用:

私も2項と同様な現象(メッセージ)で悩まされています。
原因,解決方法をご存知の方、御教授ください。
--------------------------------------------------------------------
ぴんぴんさんの書き込み (2004-08-19 00:56) より:
W2K3でドメインを組んで、CAを立ててみています。おおむね動いてはいるの
ですが、完全ではないと思われます。

1.新規マシンを登録した場合、CAがデフォルトで利用可能にはなっていません。
CAのcertenrollにある証明書を、手で信頼されたルート証明機関に登録することに
より、CAからマシン証明書などの発行を受けることができますが、これはたぶん
正常な運用ではないと思います。本当はどうするものなのでしょう。
ちなみに、CAが稼動しているマシンは、マスターのDCで、当該マシンはCert
publisherのメンバーです。

2.特定のマシンで、マシン証明書の発行を受けられないことがあります。
ISA2004を試そうと思ったマシン(W2K3 Std)でこの現象が発生しました。mmcから、
証明書の要求までは行くのですが
−−
以下のどれかが理由で、証明書要求に失敗しました
・証明書要求が、開始されていないCAに提出された
・利用可能なCAから証明書を要求する権限が無い
−−−
というメッセージが出て、マシン証明書取得ができません。証明書が無いとVPNの
構成に問題が出そうですので、ちょっと困ります。当該CAは動作しているものと
思われますし、ログインユーザーはドメインのadministratorです。同様の環境の
別マシンでは、問題なくコンピュータ証明書の取得ができました。
どのような問題が想定されるものでしょうか。
--------------------------------------------------------------------
きくちゃん
ぬし
会議室デビュー日: 2003/08/01
投稿数: 854
お住まい・勤務地: 都内某所
投稿日時: 2006-06-05 13:04
ぴんぴんさん、こんにちは。

引用:

正常な運用ではないと思います。本当はどうするものなのでしょう。

「本当は」と聞かれると自信はありませんが、グループポリシーで「信頼されたルート証明機関」に登録しています。

引用:

2.特定のマシンで、マシン証明書の発行を受けられないことがあります。
ISA2004を試そうと思ったマシン(W2K3 Std)でこの現象が発生しました。mmcから、


もしかして RPC がブロックされているんじゃないでしょうか。
http://support.microsoft.com/kb/887222/ja
いけぴょん
会議室デビュー日: 2004/01/13
投稿数: 4
投稿日時: 2006-06-05 15:53
きくちゃんさん、こんにちは!
私の場合、Win-XP(PC)--NOKIA FireWall-1--Win2003SV-SP1 #1+#2(2重化)構成です。
SV#1を親CA,#2を子CAと証明機関を構成し、PCから親CAに証明書要求を行った際に
----------------------------------------------
以下のどれかが理由で、証明書要求に失敗しました
・証明書要求が、開始されていないCAに提出された
・利用可能なCAから証明書を要求する権限が無い
----------------------------------------------
のメッセージが表示されます。(子CAへ要求時は正常に証明書を取得可能。)
この様な場合でもRPCのブロックが考えられますか?RPCの知識に乏しいため原因
究明に苦労しています。簡単にブロックされているか、いないかのを判断する事は
出来ないものでしょうか?
きくちゃん
ぬし
会議室デビュー日: 2003/08/01
投稿数: 854
お住まい・勤務地: 都内某所
投稿日時: 2006-06-05 16:09
いけぴょんさん、こんにちは。

引用:

究明に苦労しています。簡単にブロックされているか、いないかのを判断する事は
出来ないものでしょうか?

NOKIA の IP シリーズも、ソフトウェアのバージョンアップを行わないと、2003 Server SP1 で仕様が変更された RPC プロトコルを正しく処理できないようです。
確認するにはファイアウォールのログを調べる必要があります。
いけぴょん
会議室デビュー日: 2004/01/13
投稿数: 4
投稿日時: 2006-06-05 20:12
きくちゃんさん
---------------------------------------------
ファイアウォールのログを調べる必要があります
---------------------------------------------
との事ですが、F/WのフィルタリングログでDrop(廃棄)されるという
ことですよね?
証明書要求時にその様なログは見受けられないのですが、、、
何か他に問題があるということでしょうか?
きくちゃん
ぬし
会議室デビュー日: 2003/08/01
投稿数: 854
お住まい・勤務地: 都内某所
投稿日時: 2006-06-06 12:53
いけぴょんさん、こんにちは。

引用:

証明書要求時にその様なログは見受けられないのですが、、、

でしたら、該当しないかも知れませんね。
あとは、要求する側とされる側のイベントログを頼りに原因を追究する、ってとこでしょうか…。
いけぴょん
会議室デビュー日: 2004/01/13
投稿数: 4
投稿日時: 2006-06-06 13:30
きくちゃんさん、こんにちは!
Check Pointにもバージョン確認を行いましたが、やはり御指摘の内容は対処済みの
ものである事を確認しました。
イベントログ上にもそれに該当する様なログは残ってないですし。
何が問題なのやら、、、、、
1

スキルアップ/キャリアアップ(JOB@IT)