none
証明書テンプレート、自動証明書要求などについて RRS feed

  • 質問

  • 1Windows2003の証明書テンプレートコンソールをみているのですが、自動登録欄に許可や不許可とあるテンプレートがありますがこれは何を意味するのでしょうか?ここで許可となっているテンプレートがグループポリシーの自動証明書要求で使えるのかなとおもったのですが、許可となっているテンプレートがすべて表示されるわけではないですし。自動証明書要求で要求できる証明書の種類を増やすにはどうすればよいでしょうか?

    2証明書の秘密鍵ってどこに保管されるのでしょうか?ドメイン環境だとADのデータベース内??ワークグループだとファイル??

    3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?

    4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?

    5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?

    6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?

    よければ教えてください。


    2011年3月19日 4:48

回答

  • チャブーンです。

    証明書サービスについて、いろいろご質問されていますね。初歩的な内容から細かいところまで、ひとつひとつに答え続けるには、ちょっと時間がありません。体系的に勉強したい、というなら、きちんとした書籍を読まれてみてはどうですか?たとえばしたのようなものがあります。

    http://ec.nikkeibp.co.jp/item/books/A05400.html

    • 回答としてマーク nodame2010 2011年4月4日 4:34
    2011年3月29日 19:05
    モデレータ
  • >2もクライアント証明書についてはたぶん証明書の中に秘密鍵があるんですよね??一般の証明書についてはわかりませんが。

    通常使用される証明書はPKCS#7形式ですので、証明書の中に存在するのは公開キーです。

    秘密キーはプロファイルの中に存在しています。

    >3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?

    はその通りです。

    >4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?

    EFSを使用する際にDRAを使う設定(規定)にしてあれば、その通りです。

    >5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?

    全ての証明書に存在します。CRL配布ポイント(CDP)より各クライアントはダウンロードして確認します。

    >6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?

    証明機関を管理できますとしか答えようがありません。

    いろいろとご質問されていますが、一旦ご自分で調べてみてはいかがでしょうか?その方が理解度が増すと思われます。特にチャブーンさんがご紹介されている本は良書ですよ。私も持っています。証明書関連はやはり難しいのでこのような書籍をご一読された方がよろしいかと思われます。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    • 回答としてマーク nodame2010 2011年4月4日 4:31
    2011年4月4日 4:15
    モデレータ

すべての返信

  • チャブーンです。

    証明書サービスについて、いろいろご質問されていますね。初歩的な内容から細かいところまで、ひとつひとつに答え続けるには、ちょっと時間がありません。体系的に勉強したい、というなら、きちんとした書籍を読まれてみてはどうですか?たとえばしたのようなものがあります。

    http://ec.nikkeibp.co.jp/item/books/A05400.html

    • 回答としてマーク nodame2010 2011年4月4日 4:34
    2011年3月29日 19:05
    モデレータ
  • チャブーンさんありがとうございます。^^

    よさそうな書籍ですが、けっこう値段がしますね^^;;。、、どうしよう。

    2011年4月1日 0:38
  • ありがとうございます。

    1については過去の自分の質問に答えがありましたね。

    すいませんでした。証明機関かテンプレートからか忘れましたが、発行したテンプレートがWebから登録できるんですね。

    2もクライアント証明書についてはたぶん証明書の中に秘密鍵があるんですよね??一般の証明書についてはわかりませんが。

     

    2011年4月3日 5:16
  • >2もクライアント証明書についてはたぶん証明書の中に秘密鍵があるんですよね??一般の証明書についてはわかりませんが。

    通常使用される証明書はPKCS#7形式ですので、証明書の中に存在するのは公開キーです。

    秘密キーはプロファイルの中に存在しています。

    >3自動証明書要求のグループポリシーに証明書を追加すると、証明書テンプレートのセキュリティで自動登録の権限があって、証明機関のセキュリティで証明書の要求の権限があれば、ドメイン内のユーザやコンピュータにグループポリシーを通して自動的に証明書を配布できるということでよいでしょうか?

    はその通りです。

    >4データ回復エージェントにAdministratorが登録されているのですが、Administratorは既定で他のユーザの暗号化解除をできる鍵をもっているということでしょうか?

    EFSを使用する際にDRAを使う設定(規定)にしてあれば、その通りです。

    >5証明書失効リストってあると思うのですが、これってWebサーバの証明書以外にもあるのでしょうか?またWebサーバ証明書失効リストってクライアントのブラウザからはどのように利用するのでしょうか?

    全ての証明書に存在します。CRL配布ポイント(CDP)より各クライアントはダウンロードして確認します。

    >6証明機関のセキュリティの証明書の発行と管理のやCAの管理の権限って何ができるのでしょうか?

    証明機関を管理できますとしか答えようがありません。

    いろいろとご質問されていますが、一旦ご自分で調べてみてはいかがでしょうか?その方が理解度が増すと思われます。特にチャブーンさんがご紹介されている本は良書ですよ。私も持っています。証明書関連はやはり難しいのでこのような書籍をご一読された方がよろしいかと思われます。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    • 回答としてマーク nodame2010 2011年4月4日 4:31
    2011年4月4日 4:15
    モデレータ
  • ありがとうございます。m(__)m

    会社で買ってもらえないかどうか少しかけあってみます。

    ご迷惑をかけて申し訳ありませんでした。

    2011年4月4日 4:30
  • ちゃぶーんさん。ありがとうございました。m(__)m
    2011年4月4日 4:33