- PR -

任意のWindowsユーザーに証明書をインポートする方法

1
投稿者投稿内容
T-Chan
会議室デビュー日: 2006/12/04
投稿数: 3
投稿日時: 2006-12-05 00:00
お世話になります。T-Chanと申します。

Windows2003またはWindows2000での質問です。
パスワードの分からないユーザーの、信頼されたルート証明機関に
証明書をインポートする方法を探しています。
もちろん、そのPCのAdministratorではログイン出来ます。

もう少し詳しく説明します。

とあるサービスからキックされるプロセスが別のWebサーバーと
SSL通信するのですが、そのWebサーバーの証明書は自前で発行した
ものなので、前期プロセスをキックするユーザーに
証明書をインポートしたいのです。
しかし、そのサービスを起動しているユーザーの
パスワードはランダムに生成された物なので分かりません。

こんな条件でなにか方法はあるでしょうか?
ご存じの方はよろしくお願い致します。
主婦
会議室デビュー日: 2006/08/29
投稿数: 15
投稿日時: 2006-12-05 09:36
まず、下記について質問です。

パスワードのわからないユーザに証明書をインポートするということは、無理やりインポートするということでしょうか?

それは逆に言い換えれば、信用できないルートの証明書をインポートさせることも可能となるので、できないことだと思います。

引用:

T-Chanさんの書き込み (2006-12-05 00:00) より:
とあるサービスからキックされるプロセスが別のWebサーバーと
SSL通信するのですが、そのWebサーバーの証明書は自前で発行した
ものなので、前期プロセスをキックするユーザーに
証明書をインポートしたいのです。
しかし、そのサービスを起動しているユーザーの
パスワードはランダムに生成された物なので分かりません。

こんな条件でなにか方法はあるでしょうか?
ご存じの方はよろしくお願い致します。


また、Administratorでログインができているのであれば、Administratorのパスワードでインポートできないのでしょうか? Administratorであればサービスを起動しているユーザを確認できると思います。

また、ランダムにパスワードを起動しているユーザはどうやってパスワードを認識するのですか?その認識方法からアクセスが可能ではないのですか?

私の経験が足りないせいか、ハッキングツールを作っているように見えたのですが・・
T-Chan
会議室デビュー日: 2006/12/04
投稿数: 3
投稿日時: 2006-12-07 01:22
主婦さん、コメントありがとうございます。
質問に回答します。説明のために順序を変えていますがご容赦下さい。

>パスワードのわからないユーザに証明書をインポートするということは、無理やりインポートするということでしょうか?
>それは逆に言い換えれば、信用できないルートの証明書をインポートさせることも可能となるので、できないことだと思います。

>私の経験が足りないせいか、ハッキングツールを作っているように見えたのですが・・

そうですね、Admin権限無しに上記のことが出来るようであれば、ハッキングかもしれません。
説明が不十分ですみません。

Adminになれる前提なので、信用出来ない証明書を無理矢理インポートするわけではありません。
社内の認証局から発行されたもので、これはイントラで利用する分には信用に足るものです。
ただ、PCにあらかじめインポートされている”信頼されたルート証明機関”から発行されていないために
クライアントPCへのインポートを実施する運用となっています。

>また、ランダムにパスワードを起動しているユーザはどうやってパスワードを認識するのですか?その認識方法からアクセスが可能ではないのですか?

サービスを起動する際には、起動するアカウントとパスワードを指定出来るので
サービスの設置時にパスワードを設定しているようです。
パスワードはおそらくランダムに生成された物だと思いますが
当然、サービスのプロパティからは確認出来ません。

>また、Administratorでログインができているのであれば、Administratorのパスワードでインポートできないのでしょうか? Administratorであればサービスを起動しているユーザを確認できると思います。

以下の手順をふめば、インポート出来ることは分かっています。
1)Admin権限で、インポートしたいユーザーのパスワードを変更する
2)インポートしたいユーザーでログインする
3)証明書をインポートする。

しかし、この手順ではサービスの起動のために指定されたパスワードと
異なるパスワードになってしまい、サービスが再起動出来なくなります。

この手順以外で、パスワードを変更せずに証明書をインポートする方法を
ご存じでしたら教えて頂けますでしょうか。
k_kazu
常連さん
会議室デビュー日: 2006/02/11
投稿数: 25
投稿日時: 2006-12-07 10:44
引用:

Windows2003またはWindows2000での質問です。
とあるサービスからキックされるプロセスが別のWebサーバーと
SSL通信するのですが

ユーザの証明書に登録するのではなく、上記プロセスが
自社発行の証明書を許可するようにプログラムする方法が良いのではないでしょうか?

.NET Framework で作成されたアプリであれば、
http://support.microsoft.com/kb/823177/ja
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15416&forum=7
を参考に その証明書をそのアプリに限定して許可するように
プログラムすれば良いです。

私も ルート証明をインストールするのは賛成しません。
高木浩光:PKIよくある勘違い(2)「安全に配布すればルート証明書を入れさせてよい」
http://takagi-hiromitsu.jp/diary/20050205.html

ただし、社内でドメインに参加しているコンピュータに証明書をインストールするというのであれば
http://vsug.jp/tabid/63/forumid/51/postid/2175/view/topic/Default.aspx
http://www.shinsei.cao.go.jp/about_safety.html
http://www.pref.aichi.jp/joho/jpki/finger.html
あたりが参考になると思います。
T-Chan
会議室デビュー日: 2006/12/04
投稿数: 3
投稿日時: 2006-12-10 10:23
k_kazuさん、ありがとうございます。

頂いたアドバイスを参考に対処してみます。
1

スキルアップ/キャリアアップ(JOB@IT)