none
クライアント証明書 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    現在、ActiveDirectory2008R2で、ドメイン環境を構築中なのですが

    経理部のPCをドメインに参加させ、ドメインユーザーでPCにログインしてもらった所、

    新しいユーザーでは証明書の問題?から銀行のWEBサイトにアクセス出来なくなってしまいました。

    サポートの話では、証明書を再発行して再インストールが必要との事なのですが、

    ドメイン環境にし、1台のPCを複数アカウントで使用する場合、アカウント分だけ証明書が

    必要になってくるのですが、ドメイン環境にした場合の証明書関連の運用って

    一般的にどのようにされてるのでしょうか?

    2013年5月23日 11:27
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    どのような仕組みでアクセスしているのかが分かりかねるので、アドバイスが適切かどうかわかりませんが・・・

    今は全員USERというアカウントでアクセスしているので、基本的に同一ユーザーとして運用しているのが現状だと思われます。

    ドメイン環境に移行しているということは、各ユーザーごとにアカウントを割り当てて運用することになるでしょう。更に席が固定されておらず毎回異なる端末を使用するので移動ユーザープロファイルが適切なソリューションとなると考えられます。

    更に、証明書の導入がユーザーなのか?コンピューターなのか?もしくは両方なのか?それとも、信頼された証明機関のみなのか?サポートからのお話ではユーザーごとの証明書を再発行してインストールする必要があるようですね。

    ですので、ユーザーごとの証明書をインストールし移動ユーザープロファイルを使用するというのが適切な運用となるのではないでしょうか?

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答の候補に設定 佐伯玲 2013年5月31日 1:27
    • 回答としてマーク 佐伯玲 2013年6月4日 5:16
    2013年5月28日 15:23
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    #ABEさんフォローありがとうございます

    ユーザー証明書をドメイン環境のプロファイルフォルダに移行する場合、USMTが使えるように思います。以下の記述では可能な旨の記述があります。

    http://technet.microsoft.com/ja-jp/library/hh825238.aspx

    ワークグループUSERのプロファイルを、各ドメインユーザーごとのプロファイルに移行(移行先のプロファイルは再作成されるはずです)して、それぞれ移動プロファイルの設定を行う、という方法はありそうですね。

    なお、ユーザー証明書のグループポリシーでの配布は「信頼されたユーザー」ストアにインポートされた証明書ならば可能ですが、「個人」ストアのものはできません。(インポート可能な証明書があればですが)certmgr.exeコマンドを使うと、ユーザー証明書を自動的にストアにインポートさせることができたはずです。

    • 回答の候補に設定 佐伯玲 2013年5月31日 1:27
    • 回答としてマーク 佐伯玲 2013年6月4日 5:16
    2013年5月28日 18:43
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    返事が遅くなりましたが、お二人とも有難うございます。

    まだ新しい証明書の方が着てないので分かりませんが、

    移動ユーザープロファイルの設定で試してみようかと思います。

    • 回答としてマーク おばQ 2013年6月4日 5:04
    2013年6月4日 5:04
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    Active Directoery証明書サービス(あるいはそれに代わる社内の証明書サービス)を構築している環境でない限りは、Active Directoryと証明書の運用に一般性(よくある運用方法)はありません。

    再発行する証明書、とはどのような種類のものでしょうか。信頼性がある第三者機関のルート証明書であれば、MSが提供するWindows Update等のオンライン更新によって、自動的に更新されます。目的別のクライアント証明書の類いであれば、グループポリシーで配布することは可能です。

    2013年5月27日 9:17
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    まず確認するべきはコンピューター証明書なのか?ユーザー証明書なのかですね。

    現在の状況を考えるとユーザー証明書だと思いますが・・・

    そもそも、証明書はプロファイルに格納されるので、ワークグループで使用していた状態から、ドメインに変更するとプロファイルの変更が発生します。

    ですので、ワークグループで使用していたアカウントで証明書のエクスポートを実行し、ドメインのアカウントで証明書のインポートを行う必要があります。

    ドメイン環境の証明書運用とおっしゃっていますが、この場合は外部のWebサイトを参照するための証明書と読み取れますのでワークグループと全く同じです。

    現在なにが起こっているかというと、ユーザーアカウントの変更が起こったので、今までのアカウントに導入されていた証明書が入っていないということだと思います。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2013年5月28日 0:00
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    mmcで確認した所、ユーザーアカウントの所にはいっていました。

    エクスポートは試みたのですが、暗号鍵が無い為か新ユーザーで証明書をインポートしても

    Webサイトへはアクセス出来ませんでした。

    現在、10席の所に12人のスタッフがおり、席が固定されていません。基本、あいている席に座り

    業務を行うといった感じです。今までと同様に業務を運用しようと思うと、この証明書の問題を

    どうすればよいのかと思案中です。

    (現在はワークグループ環境で、全員がUSERというアカウントでPCにログインしています)

    証明書の情報がユーザープロファイルのRomingフォルダにはいってるようなので、グループポリシーで

    フォルダリダイレクトもしくは移動ユーザープロファイルにしてしまえば、席固定しなくても今までと同様に

    業務を行えるのかなぁと考えています。

    2013年5月28日 5:17
    |
  • Question
    サインインして投票
    0
    サインインして投票

    どのような仕組みでアクセスしているのかが分かりかねるので、アドバイスが適切かどうかわかりませんが・・・

    今は全員USERというアカウントでアクセスしているので、基本的に同一ユーザーとして運用しているのが現状だと思われます。

    ドメイン環境に移行しているということは、各ユーザーごとにアカウントを割り当てて運用することになるでしょう。更に席が固定されておらず毎回異なる端末を使用するので移動ユーザープロファイルが適切なソリューションとなると考えられます。

    更に、証明書の導入がユーザーなのか?コンピューターなのか?もしくは両方なのか?それとも、信頼された証明機関のみなのか?サポートからのお話ではユーザーごとの証明書を再発行してインストールする必要があるようですね。

    ですので、ユーザーごとの証明書をインストールし移動ユーザープロファイルを使用するというのが適切な運用となるのではないでしょうか?

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答の候補に設定 佐伯玲 2013年5月31日 1:27
    • 回答としてマーク 佐伯玲 2013年6月4日 5:16
    2013年5月28日 15:23
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    #ABEさんフォローありがとうございます

    ユーザー証明書をドメイン環境のプロファイルフォルダに移行する場合、USMTが使えるように思います。以下の記述では可能な旨の記述があります。

    http://technet.microsoft.com/ja-jp/library/hh825238.aspx

    ワークグループUSERのプロファイルを、各ドメインユーザーごとのプロファイルに移行(移行先のプロファイルは再作成されるはずです)して、それぞれ移動プロファイルの設定を行う、という方法はありそうですね。

    なお、ユーザー証明書のグループポリシーでの配布は「信頼されたユーザー」ストアにインポートされた証明書ならば可能ですが、「個人」ストアのものはできません。(インポート可能な証明書があればですが)certmgr.exeコマンドを使うと、ユーザー証明書を自動的にストアにインポートさせることができたはずです。

    • 回答の候補に設定 佐伯玲 2013年5月31日 1:27
    • 回答としてマーク 佐伯玲 2013年6月4日 5:16
    2013年5月28日 18:43
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    返事が遅くなりましたが、お二人とも有難うございます。

    まだ新しい証明書の方が着てないので分かりませんが、

    移動ユーザープロファイルの設定で試してみようかと思います。

    • 回答としてマーク おばQ 2013年6月4日 5:04
    2013年6月4日 5:04
    |