SeciossLink 管理者ガイド

システム設定
Windows 証明書サービスの設定について

以下はActive Directory の管理配下でWindows証明書サービス(Windows Server 2012 R2)が動作している環境における注意事項、および設定事項です。

  1. Windows証明書サービス機能追加コンポーネント
    役割と機能の追加で”Active Directory 証明書サービス“(証明書機関、ネットワークデバイス登録サービス)とIISを追加し、証明書発行機関としての設定を適切に行ってください。

    図 100 証明書サービス 機能追加コンポーネント

  2. クエリ文字列数制限緩和
    「管理ツール」-「IISマネージャ」-「Default Web Site」-「CertSrv」を選択、ウィンドウ右の「要求フィルタ」から「クエリ文字列」のタブを開いてください。更に右のメニューから「機能設定の編集」をクリックし「URLの最大長」および「クエリ文字列の最大長」をそれぞれ“8192”、“4096”の値に変更して保存してください。

    図 101 IISマネージャ 要求フィルタの編集

  3. 認証方式の変更
    「管理ツール」-「IISマネージャ」-「Default Web Site」-「CertSrv」を選択、ウィンドウ右の「認証」をクリックし、認証方式を以下のように変更してください。
    ・Windows認証→「無効」
    ・匿名認証→「有効」

    図 102 証明書サービス 機能追加コンポーネント

    ※現在の仕様では匿名認証での証明書発行依頼となりますので、CA局へのアクセスはIPアドレスで接続制限を行うことをお勧めします。

  4. チャレンジパスワード認証、静的パスワード設定の有効化
    以下のレジストリの値が「0」に設定されている場合、「1」に変更してください。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EnforcePassword
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\UseSinglePassword
    設定が完了したら「IISマネージャ」-「アプリケーションプール」を開き「SCEP」を右クリック、「停止」-「起動」を行ってください(設定反映のため)。
  5. デフォルト証明書テンプレートの変更
    SCEP は IPSec VPN 環境で広く使用されているため、 デフォルトで発行する証明書の種類が SCEP 用の IPSec(オフライン要求) テンプレートを使用するように自動設定されます。そのため、自動発行する証明書の種類を「クライアント証明書」に変更する必要があります。「管理ツール」-「証明書機関」を起動、左ペインの「証明書テンプレート」を選択し右クリックから「管理」をクリックし、「証明書テンプレートコンソール」を起動してください。今回は「IPSec(オフライン要求)」テンプレートを使ってクライアント証明書用のテンプレートを作成します。表示されているテンプレート一覧から「IPSec(オフライン要求)」を右クリック「テンプレートの複製」をクリックしてください。表示されたプロパティ画面の「全般」タブで以下の項目を編集してください。
    ・テンプレート表示名:任意(今回は“自動配布用”と入力)
    ・テンプレート名:任意(今回は“AutoCert”と入力)
    次に「拡張機能」タブを表示し、「このテンプレートに含まれている拡張機能」に表示されている「アプリケーションポリシー」を選択、「編集」ボタンをクリック後、「追加」で「クライアント認証」を追加してください。

    図 103 証明書テンプレートの編集

    「証明書機関」コンソールに戻り、左ペインの「証明書テンプレート」を右クリックし「新規作成」「発行する証明書テンプレート」から、先ほど作成したテンプレート(自動配布用)を追加してください。

  6. デフォルト証明書テンプレートの有効化
    以下のレジストリの値を作成した証明書テンプレート名(今回は“AutoCert”)に変更してください。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\EncryptionTemplate
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\GeneralPurposeTemplate
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\SignatureTemplate
    設定が完了したら「IISマネージャ」-「アプリケーションプール」を開き「SCEP」を右クリック、「停止」-「起動」を行ってください(設定反映のため)。

マニュアル内検索

マニュアル関連

ID管理と認証を一元管理可能なSaaS型サービス

seciossLink

お問い合わせ

お気軽にお問い合わせください。

アイコン:smartphone