- PR -

クライアント証明書の発行

1
投稿者投稿内容
odik
ベテラン
会議室デビュー日: 2005/02/07
投稿数: 69
投稿日時: 2006-01-13 17:04
Windows2003 ServerにてスタンドアロンCAを構築し、
サーバ証明書、クライアント証明書を発行したい
と考えております。

両方の証明書は発行できたのですが、
クライアント証明書に、以下の2つの条件を
付加したいと考えております。
(1)クライアント証明書をクライアントにインストールする際に、
 秘密キーのパスワードを入力必須としたい。
(2)クライアント証明書の有効期限が1年間になっているが、
 これを10年ほどに延ばしたい。

詳細)
上記(1)について、
@[証明期間]スナップインより[発行した証明書]をクリック、
A該当するクライアント証明書を開き、[詳細設定]タブにて[ファイルにコピー]
をクリックする。
B証明書のエクスポートウィザードにて以下がモーダルになっていて
 選択できない。
・Personal Information Exchange
 上記を選択出来れば、クライアント証明書のインストールの際に、
 パスワードの入力が必須となると予想している。

上記(2)について、
クライアント証明書の作成過程において有効期限をパラメータとして
入力するような箇所がなかった。

ご教授下さいます様、宜しくお願いします。
Gucci
会議室デビュー日: 2005/11/22
投稿数: 16
投稿日時: 2006-01-16 12:57
はじめまして。

(1)クライアント証明書をクライアントにインストールする際に、
 秘密キーのパスワードを入力必須としたい。
証明書の要求時に、秘密キーのエクスポートを有効にするためのチェックを入れる必要があったと思います。
チェックが選択できないようですと、テンプレートのカスタマイズが必要化も知れません。テンプレートのカスタマイズについては以下(2)を参照。


(2)クライアント証明書の有効期限が1年間になっているが、
 これを10年ほどに延ばしたい。

テンプレートのカスタマイズが必要です。
テンプレートのカスタマイズ機能はEnterpriseEditionから対応しています。
odik
ベテラン
会議室デビュー日: 2005/02/07
投稿数: 69
投稿日時: 2006-01-16 14:14
Gucci様
ご教授有難うございます。

Windows Server 2003 Standard EditionのCDより証明書サービスを
インストール致しました。
そのため、ご指摘の通り、証明書テンプレートは発行できません。
ちなみにEnterPrise Editionは購入していません。


こちらで更に調べたところ、証明書ポリシーを変更することで、
対処できるのかなと考えておりました。
http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/proddocs/reskit/chapt-12.mspx
以下抜粋
==========================================
証明書ポリシーでは次の項目を定義します。
・秘密キーのエクスポートの可否
・証明書の有効期限
==========================================


http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/sag_CSStandCA.asp
以下抜粋
==========================================
 CA で独自のポリシー モジュールを使う場合は、
 最初にスタンドアロンの CA をインストールしてから、
 スタンドアロンのポリシー モジュールをカスタム ポリシー モジュール
 に置き換えます。

 証明書サービスには、開発者が独自のポリシー モジュールを作成できるように、
 プログラミング可能なインターフェイスが組み込まれています。
 詳細については、「Microsoft プラットフォーム ソフトウェア開発キット (SDK)」
 を参照してください。
 「Microsoft プラットフォーム ソフトウェア開発キット」のガイドラインを使用して
 独自のポリシー モジュールを作成した場合に、ポリシー モジュールを変更するには
 「別のポリシー モジュールを選択する」を参照してください。
==========================================

上記の情報より、
Microsoft プラットフォーム ソフトウェア開発キットを使用して、
カスタムポリシーモジュールを作成して、それをスタンドアロンのCA
に適用するとうまくいくと考えておりました。

この認識は誤りでしょうか?
また、「Microsoft プラットフォーム ソフトウェア開発キット」で
カスタムポリシーを作成するのはかなり手間がかかるものでしょうか?

ご教授下さいます様、宜しくお願いします。

Gucci
会議室デビュー日: 2005/11/22
投稿数: 16
投稿日時: 2006-01-16 19:07
すみません。文面をよく見ておりませんでした。
スタンドアロンCAでしたね。
先ほどの内容はエンタープライズCAの場合でした。


スタンドアロンCAではポリシーモジュールの入れ替えで
これらの変更は可能のようです。
どの程度の手間がかかるかはちょっとすぐにはわかりません。
申し訳ありません。
odik
ベテラン
会議室デビュー日: 2005/02/07
投稿数: 69
投稿日時: 2006-01-16 20:38
Gucci様
ご回答有難うございます。

また、何か分かったことがございましたら
ご教授下さい。
1

スキルアップ/キャリアアップ(JOB@IT)