none
[AD CS] 親ドメインのCAに対しての子ドメインからの証明書要求 RRS feed

  • 質問

  • Active Directoryで2階層のドメインの環境で、子ドメインのクライアントが親ドメインに参加しているCAに証明書を要求する方法について質問です。

    環境の概要ですが、

    1. Windows 2008にてADを構築
    2. ドメインは単一のフォレスト内に2階層のドメイン
    3. CAは親ドメインにエンタープライズCA(Windows 2012 R2)として配備

    という状況で、子ドメインのクライアントからクライアント証明書を受けさせたいと考えていますが、うまく環境構築できません。

    国内外の情報源を探しまくってはみた結果、以下の情報がもっとも合致しており、やらなければならない事は理解できたのですが、OS相違のためか設定方法も異なっているようです。

    Active Directory の信頼されるドメインに証明書を公開させる証明機関の設定

    https://support.microsoft.com/ja-jp/kb/281271

    上記ページを参考に作業すると、以下の様な結果になります。

    子ドメイン ユーザーが証明書を取得し、それらを Active Directory に公開できるようにする方法

    1. CA に、子ドメインのユーザーが証明書を要求できるように~→こちらは設定可能
    2. 適用可能な証明書テンプレートに~→e.[セキュリティ] タブでのタブが見当たらない
    3. Active Directory に証明書に~→cの「Active Directory に証明書の公開を許可する」が見当たらない
    4. Active Directory ユーザーとコンピュータ スナップインを開き~→OK
    5. [制御の委任] をクリックすると~→aの部分で親ドメインのCert Publishersグループを追加しようとすると、「名前が見つかりません」ダイアログが出る

    といった状況です。

    作業方法が全く変わってしまったのでしょうか。 正しい作業方法、又はヒントのようなものをご存じの方がいらっしゃいましたらお助け下さい。

    2016年8月31日 7:40

回答

  • チャブーンです。

    おっしゃる資料を読んでみましたが、この資料そのものはWindows 2000および2003ベースで発生する問題で、それ以降のWindowsでは当てはまらないのではないでしょうか?

    Windows Server 2012 R2ベースですが、以下の状況ではふつうに「ユーザ証明書」の要求と発行が正常に行えています。

    • 親=子ドメインの2階層構成(Windows Server 2012 R2フォレストレベル)
    • 親ドメイン側にEnterprise CAを配置、子ドメイン側はなし
    • 親ドメインCAのユーザー証明書テンプレートの[セキュリティ]タブで[Authenticated Users]に対して[登録]の許可を与える(いやな場合[子ドメイン\Domain Users]に登録の許可を与えてください)

    発行の条件ですが、(当然ですが)要求するユーザがログオンしているコンピュータが、「親ドメインのCA」と直接通信できる必要があります。子ドメインのドメインコントローラがプロキシ的に証明書を転送する、といった機能はないので、この点は注意してください。

    ちなみに手順については、少し試してみましたがバージョンの相違により変わった部分があるように思います。ただ現時点で愚直にこの手順を試す必要はない、という認識です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年9月1日 5:21
    モデレータ

すべての返信

  • チャブーンです。

    おっしゃる資料を読んでみましたが、この資料そのものはWindows 2000および2003ベースで発生する問題で、それ以降のWindowsでは当てはまらないのではないでしょうか?

    Windows Server 2012 R2ベースですが、以下の状況ではふつうに「ユーザ証明書」の要求と発行が正常に行えています。

    • 親=子ドメインの2階層構成(Windows Server 2012 R2フォレストレベル)
    • 親ドメイン側にEnterprise CAを配置、子ドメイン側はなし
    • 親ドメインCAのユーザー証明書テンプレートの[セキュリティ]タブで[Authenticated Users]に対して[登録]の許可を与える(いやな場合[子ドメイン\Domain Users]に登録の許可を与えてください)

    発行の条件ですが、(当然ですが)要求するユーザがログオンしているコンピュータが、「親ドメインのCA」と直接通信できる必要があります。子ドメインのドメインコントローラがプロキシ的に証明書を転送する、といった機能はないので、この点は注意してください。

    ちなみに手順については、少し試してみましたがバージョンの相違により変わった部分があるように思います。ただ現時点で愚直にこの手順を試す必要はない、という認識です。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年9月1日 5:21
    モデレータ
  • チャブーンさん

    丁寧な回答ありがとうございます。

    2012ベースだと素直に動作するのですね。 有用な情報ありがとうございます。 構成を見直し、再度トライしてみたいと思います。

    ありがとうございました。

    2016年9月4日 23:29