none
サブジェクトの別名を有効にするには? RRS feed

  • 質問

  • お世話になります。

    社内サーバの暗号通信用にADCSのスタンドアロン CAを利用して認証局とサーバ証明書を運用しております。

    昨日Chromeのバージョンが58はに上がった事で、サブジェクトの別名が登録されていない証明書が安全ではない証明書となってしまいました。

    ※警告画面が表示されてしまいます。

    この問題を解決するべく、ADCSの設定変更を行い、要求の属性にsanを追加したのですが、

    発行された証明書にサブジェクトの別名が作成されず安全ではない証明書のままとなっています。

    設定のどの部分がおかしいのか、分かる方が居られましたら回答をお願いいたします。

    環境:

    OS:Windows Server 2008 R2 Standard Sp1

    システム:64bit

    設定変更内容:

    1.certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    2.サービスの再起動

    設定内容の確認:

    certutil -getreg policy/EditFlagsを実行

    policy/EditFlags REG_MULTI_RZ=

     0:EDITF_ATTRIBUTESUBJECTALTNAME2

    と表示される。

    ※これは有効になっているんでしょうか?

    regeditでレジストリの値を確認すると

    EditFlagsは0x000083ee(33774)

    となっております。

    証明書発行方法

    1.インストール先サーバにて要求を作成

    2.ADCSサーバにて要求の取込み(証明書の要求または要求の送信にて1.のファイル内容を貼り付け)

    3.追加属性に下記を記述

    「san:dns=*.hogehoge.co.jp&dns=hogehoge.co.jp

    4.送信

    5.証明機関にて発行

    ※属性と拡張の表示を見ると3.の追加内容が記載されている

    6.発行された証明書のファイル保存(ブラウザにて取得)

    7.対象サーバにインストール

    ※このインストールした証明書に「サブジェクトの別名」がない

    インターネット検索等行いましたが、上記を行うだけとの記載が多く原因がつかめておりません。

    原因等なにかありますでしょうか?

    よろしくお願いいたします。


    • 編集済み MZON 2017年4月28日 6:08
    2017年4月28日 6:07

回答

  • チャブーンです。

    この件ですが、設定の問題ではなく、設定後に要求ファイルにSANを記載する「形式」がWindows Server 2003以前とWindows Server 2008以後では違っているようです。

    https://technet.microsoft.com/ja-jp/library/ff625722(v=ws.10).aspx

    ----
    [Extensions]
    ; If your client operating system is Windows Server 2008, Windows Server 2008 R2, Windows Vista, or Windows 7
    ; SANs can be included in the Extensions section by using the following text format. Note 2.5.29.17 is the OID for a SAN extension.

    2.5.29.17 = "{text}"
    _continue_ = "dns=www01.fabrikam.com&"
    _continue_ = "dn=CN=www01,OU=Web Servers,DC=fabrikam,DC=com&"
    _continue_ = "url=http://www.fabrikam.com&"
    _continue_ = "ipaddress=172.31.10.134&"
    _continue_ = "email=hazem@fabrikam.com&"
    _continue_ = "upn=hazem@fabrikam.com&"
    _continue_ = "guid=f7c3ac41-b8ce-4fb4-aa58-3d1dc0e36b39&"
    ----

    確認してみてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年5月1日 6:02
    モデレータ
  • ありがとうございます!

    無事解決いたしました。

    ブラウザで入力する事だけで対応していたのでcertreq.exeを利用しての作成を見ていませんでした。

    今回の解決手順

    1..inf作成 (メモ帳にて入力)

    2.要求ファイルの作成 (certreq -new -f XXX.inf XXX.req)

    3.XXX.reqの内容を元にブラウザにて証明書の要求発行

    4.CAにて発行

    5.ブラウザにて証明書のダウンロード(xxx.cer)

    6.証明書のインストール(certreq -accept xxx.cer)

    7.コンソール(MMC)から証明書のエクスポート(xxx.pfx)

    8.対象サーバにて証明書のインポート

    9.443ポートへ証明書をバインド

    以上です。

    環境:Windows Server2008 R2 IIS7.5

    ありがとうございました。

    2017年5月2日 3:17

すべての返信

  • チャブーンです。

    この件ですが、設定の問題ではなく、設定後に要求ファイルにSANを記載する「形式」がWindows Server 2003以前とWindows Server 2008以後では違っているようです。

    https://technet.microsoft.com/ja-jp/library/ff625722(v=ws.10).aspx

    ----
    [Extensions]
    ; If your client operating system is Windows Server 2008, Windows Server 2008 R2, Windows Vista, or Windows 7
    ; SANs can be included in the Extensions section by using the following text format. Note 2.5.29.17 is the OID for a SAN extension.

    2.5.29.17 = "{text}"
    _continue_ = "dns=www01.fabrikam.com&"
    _continue_ = "dn=CN=www01,OU=Web Servers,DC=fabrikam,DC=com&"
    _continue_ = "url=http://www.fabrikam.com&"
    _continue_ = "ipaddress=172.31.10.134&"
    _continue_ = "email=hazem@fabrikam.com&"
    _continue_ = "upn=hazem@fabrikam.com&"
    _continue_ = "guid=f7c3ac41-b8ce-4fb4-aa58-3d1dc0e36b39&"
    ----

    確認してみてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年5月1日 6:02
    モデレータ
  • ありがとうございます!

    無事解決いたしました。

    ブラウザで入力する事だけで対応していたのでcertreq.exeを利用しての作成を見ていませんでした。

    今回の解決手順

    1..inf作成 (メモ帳にて入力)

    2.要求ファイルの作成 (certreq -new -f XXX.inf XXX.req)

    3.XXX.reqの内容を元にブラウザにて証明書の要求発行

    4.CAにて発行

    5.ブラウザにて証明書のダウンロード(xxx.cer)

    6.証明書のインストール(certreq -accept xxx.cer)

    7.コンソール(MMC)から証明書のエクスポート(xxx.pfx)

    8.対象サーバにて証明書のインポート

    9.443ポートへ証明書をバインド

    以上です。

    環境:Windows Server2008 R2 IIS7.5

    ありがとうございました。

    2017年5月2日 3:17