- - PR -
Windwos2003サーバでの証明書テンプレートがうまくいきません。
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2006-03-04 00:52
【やりたいこと】
証明書の配布を簡単に行いたい。 【うまくいかないこと、疑問】 エンタープライズCAを構築すると、 証明書要求から取得が1Stepで行えます。ユーザは ActiveDirectory に参加していませんが、http://ipaddress/certsrv/にアクセスす ると ユーザ認証が走り、「ユーザー証明書」をクリックすると自動的に 証明書を取得できます。(エンタープライズCAで無い場合は、 CA側で発行処理が必要になり、ユーザも再度アクセスする必要があ ります。) だ、か、ら、 この仕組みを使いたいのですが、テンプレートを変更できないので しょうか? 【環境】 ・Windows2003サーバ(Enterprise) ・ActiveDirectoryを構築 ・エンタープライズのルートCAを構築 ・ 【設定内容】 ・MMCで証明書テンプレートを作成 (秘密鍵をエクスポートしない、有効期間を2年など) ・テンプレート名はtest ・優先されるテンプレートとして「ユーザ(User)」を指定 【動作】 PCからhttp://ipaddress/certsrv/にアクセスし、証明書を要求す ると 必ず「ユーザ(User)」のテンプレートが選ばれる。 このテンプレートを削除すると、「ユーザ証明書」が表示されな い。 |
|
投稿日時: 2006-03-04 16:30
こんにちは。
作成した証明書テンプレートに適切なアクセス権の設定がなされていないのが原因ではないでしょうか。 ・[Active Directory サイトとサービス]コンソールを開く ・左ペインのルート要素を右クリックし、コンテキストメニューの[表示]をポイントし[サービスノードの表示]をクリック ・左ペインに[Services]要素が追加されるので、[Services]\[Public Key Services]\[Certificate Templates]をクリック ・右ペインに作成したテンプレートが表示されているはずなので、適切なアクセス権を与える 上記の手順で証明書を取得しに来るユーザへのアクセス権を設定出来ます。 |
|
投稿日時: 2006-03-05 06:32
アドバイスありがとうございます。
早速やってみたいと思います。 HP見させていただきましたが、すごい方みたいですね。 今後ともよろしうお願いします。 |
|
投稿日時: 2006-03-06 11:33
うまくいきません。
アクセス権の設定はどのようにすればよいのでしょうか? 以下の設定を記載します。よろしくお願いします。 【既存のユーザ(User)のセキュリティ設定】 @Authenticated Users 「読み取り」のみ ADomain Users 「登録」のみ 【新規に作成したのtestのセキュリティ設定】 上記と同一の設定 |
|
投稿日時: 2006-03-06 16:57
SEが好きさん、こんにちは。
私は別にすごかないです ^^; アクセス権の[読み取り]や[登録]が何を意味するかについてはこちらが参考になると思います。 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/d4c9cc43-4376-442c-85fd-29874c6cf0d8.mspx テンプレートに適切なアクセス権を付与するところまで作業が進んだらユーザに証明書を発行できるはずです。以下の手順を試してください。 [http://server/certsrv] にアクセスする。 [証明書の要求の詳細設定を送信する。] リンクをクリックする。 [この CA への要求を作成し送信する。] リンクをクリックする。 [証明書テンプレート:] ドロップダウンリストの中から自作の証明書テンプレートを選択する。 オプション類を適切に設定したら[送信]ボタンをクリックする。 詳細な解説はリンク先を参照してください。大抵の疑問は解決すると思います。 http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/7d82b420-10ef-4f20-a56f-17ee7ee352d2.mspx http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspx |
|
投稿日時: 2006-03-07 15:22
ありがとうございます。
たしかにおっしゃるとおりですね。ただ、自動的に証明書を取得したいのです。 具体的には、最初の質問で書いた内容です。 ------------引用-------------------- ユーザ認証が走り、「ユーザー証明書」をクリックすると自動的に 証明書を取得できます。(エンタープライズCAで無い場合は、 CA側で発行処理が必要になり、ユーザも再度アクセスする必要があ ります。) だ、か、ら、 この仕組みを使いたいのですが、テンプレートを変更できないので しょうか? ------------------------------------ 難しいでしょうかね。 |
|
投稿日時: 2006-03-07 21:56
質問を変えます。
証明書のテンプレートのなかで、「ユーザー」というテンプレートの内容を変更することはできますか?例えば、有効期限や秘密鍵のエクスポートを禁止するなどです。 よろしくお願いします。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。