none
GPOの公開キーのポリシーについて RRS feed

  • 質問

  • GPOの公開キーのポリシーを利用して端末にルート証明書をインストールした場合のデメリットを教えてください。

    現在PCに個別にインストールしていますが、GPOを使うデメリットが思いつきません。

    2017年6月29日 2:56

回答

  • 上記の質問について、AD CS のメリットの1つとして「ドメイン内において、SSL通信やIPsec通信を無料で実現できること」かと思います(以下サイトが参考になるかと思います)。

    http://ascii.jp/elem/000/000/533/533713/

    デメリットは AD CS をインストールしたサーバのマシン負荷や、そのサーバの人的管理負荷が増す、といったところでしょうか。

    • 編集済み Zaamasu 2017年7月5日 15:50
    • 回答としてマーク yuuichiro99 2017年7月5日 23:56
    2017年7月5日 15:48

すべての返信

  • はじめまして。

    ご質問の件、強いて言えば、個々にインストールされていることの逆のことがデメリットといえるかもしれません。

    デフォルトでは、"公開キーのポリシー"を設定した GPO をリンクしたドメインや OU 内のすべてのコンピュータ/ユーザに対し、ルート証明書が配布されることとなります。その結果、意図しないコンピュータ/ユーザに対してもルート証明書を配布していた、といったセキュリティリスクが発生する可能性はあるかと思います。なお、対処策として、セキュリティフィルタを使用する方法がありますが、手間にはなります。

    http://office-qa.com/win/win171.htm

    以上、参考になれば幸いです。

    2017年6月30日 16:12
  • フォーラムオペレーターの栗下 望です。
    blackjack08 さん、こんにちは。

    本件その後いかがでしょうか?

    ざあますさんから返信が来ておりますので、
    確認いただきましたら状況をお知らせください。

    また、参考になった回答が寄せられましたら、
    [回答としてマーク]をご設定くださいね。

    フォーラムのヘルプ
    https://social.technet.microsoft.com/Forums/ja-JP/e164507c-7d3b-47d7-8be8-dd383e61507c?forum=announceja

    どうぞよろしくお願いいたします。


    MSDN/TechNet Community Support 栗下 望

    2017年7月3日 1:41
    モデレータ
  • ありがとうございます。

    一般的にはみなさんどうされているいるんでしょうか?

    個別でインストールする方が、インストールも削除もかなり手間がかかると

    思うんですが。

    GPOからキーの登録をけしたら端末への配布もなくなるとききましたし。

    2017年7月4日 23:49
  • チャブーンです。

    一般的にはみなさんどうされているいるんでしょうか?

    それについては、「そもそも(意識的に)ルート証明書を配布しなくていいようにシステム構成を行っている」のではないでしょうか。

    Windows証明機関でエンタープライズCAを構成した場合、ルート証明書はドメインに参加した時点で「自動的に配布」されますので、意識する必要性は少ないです。Windows証明機関と無関係な証明書(Verisign等)の場合、原則的にはWindowsにインストール済みですので問題はなく、それ以外の「カスタムルート証明書」が対象になるので、利用シーンはそもそも限定されます。

    また各端末をイメージコピーで作成する場合、イメージ内に最初から展開しておけば、都度都度証明書を手動でインストールする必要もなくなります。

    ルート証明書のGPO展開は、展開する証明書は「公開鍵証明書(秘密鍵を含まない)」を想定していますので、セキュリティ的に大きな問題になることも、ふつうはありません。

    問題があるとすれば、設計や運用を「サーバー構築担当者」が行うという、プロジェクト内の政治的なものかもしれません。「クライアント構築担当者」と役割が分かれている場合、サーバー担当者が「自分たちの仕事でない」と拒否すれば、クライアント担当者が行うしかなくなるため、GPOを変更することができず、必然的に手動展開となるでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年7月5日 1:56
  • windowsのでなくサードパーティーの証明機関を利用しています。特にGPOで配布するデメリットはなさそうですね。

    adcsを利用するメリットやデメリットって何になるのでしょうか?

    2017年7月5日 3:27
  • 上記の質問について、AD CS のメリットの1つとして「ドメイン内において、SSL通信やIPsec通信を無料で実現できること」かと思います(以下サイトが参考になるかと思います)。

    http://ascii.jp/elem/000/000/533/533713/

    デメリットは AD CS をインストールしたサーバのマシン負荷や、そのサーバの人的管理負荷が増す、といったところでしょうか。

    • 編集済み Zaamasu 2017年7月5日 15:50
    • 回答としてマーク yuuichiro99 2017年7月5日 23:56
    2017年7月5日 15:48