none
ADFSを利用したクライアント証明書を発行する際に必要なCAサーバーについて RRS feed

  • 質問

  • 既存の環境にCAサーバーが存在しております。

    そのCAサーバーを利用しクライアント証明書を出したいと考えております。

    その際の要件に

     ・証明書サブジェクト名は、AD DSのユーザーアカウントのLDAP識別名に対応していること
     ・証明書サブジェクトの拡張名の拡張子は、AD DSのユーザーアカウントのユーザープリンシパル名(UPN)であること

    とありますが、どのように確認すれば良いでしょうか?

    大変恐縮ですが、ご教示お願いいたします。

    2018年5月28日 1:55

回答

  • チャブーンです。

    この件ですが、資料の出典元をお教えいただかないと、原則答えようがありません。用語に不正確な部分もあるようですので。

    わからない前提ですが、もしかして、したのページの「スマートカード認証」の項目についていっているのでしょうか?

    https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/design/appendix-a--reviewing-ad-fs-requirements

    スマートカード認証用の証明書は、いわゆるユーザー証明書とほぼ同じものを指す、理解でいいと思います(証明書の利用目的の違いがありますが)。

    うえの資料になぞらえれば、書いてある条件は、したのように読み替えられます。

    • 証明書のサブジェクト名(Subject Name)には、該当するActive DirectoryユーザーのDistinguishedNameが記載されねばならない
    • 証明書の代替サブジェクト名(Subject Alternative Name)には、UPN項目として、該当するActive DirectoryユーザーのUser Principal Nameが記載されねばならない

    Windowsの証明機関でこれを実現するには、エンタープライズCAを建てたうえ、「ユーザー証明書」や「スマートカード証明書」といった証明書テンプレートを使って、発行することになります。

    発行された証明書がそれを満たしているかどうかは、証明書の詳細を見ればわかるのですが、うえの各用語が理解できている必要があります。

    Active Directoryや、証明書の一般的な用語、エンタープライズCAのしくみをある程度ご自身で理解すると、自ずとわかるようになると思いますので、こういった情報をまずは情報収集いただくことが最初かと思います。

    そのうえでご質問いただけると、適切な範囲での問い合わせが可能になると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年6月2日 7:34
    モデレータ