いつも参考にさせていただいております。
HTTPS化に必要なクライアント証明書の要件についてのご確認となります。
これまでの構築経験から、
クライアント証明書には以下としておりました。
・サブジェクト名の形式:DNS名
・代わりのサブジェクト名:DNS名
DNSだと伝わり難いため、
実際にはFQDN(フルコンピュータ名)ですとご説明することもございます。
社内CA(Standalone CA)を使用されているお客様に、
下記参考URLからクライアント証明書のことと、
上記のサブジェクト名からFQDNをことをお伝えしたところ、
このFQDNがどう利用されているのか疑問を持たれておりました。
公式情報では以下となっております。
==========
証明書の固有情報
クライアント コンピューターでは、[サブジェクト名]フィールド
または[サブジェクトの別名]フィールドに一意の値が必要です。
使用する場合は、代替の証明書の選択条件が指定されていない限り、
[サブジェクト名]フィールドにローカルコンピューター名が含まれる必要があります。
==========
==========
証明書の使用方法
ソフトウェアの更新ポイントとアプリケーションカタログWebサイトポイントを除き、
この証明書は、IISを実行しHTTPSを使用するように設定されているサイトシステム
サーバーに対してクライアントを認証します。
==========
HTTPSの管理ポイントがクライアントを認証するために、
一意の値としてコンピュータ名(FQDN)を使用する、
という認識でしたが(文章がおかしいかもですが)、
具体的にはこのコンピュータ名はどのように使われているのでしょうか。
ご教示いただけますと幸いです。
事例を確認する限り、
「サブジェクト名」が既定値の例も多く(サブジェクト名:形式なし/代わり:DNS名)、
テンプレートを使用するに辺り、サブジェクト名にDNS(FQDN)が設定されているだけで、
この値が何か管理ポイントの確認対象にならないのではとも思っております。
<参考URL>
https://docs.microsoft.com/ja-jp/mem/configmgr/core/plan-design/network/pki-certificate-requirements#pki-certificates-for-clients
何卒お力添えいただきたく存じます。
以上、よろしくお願いいたします。
