none
オンラインレスポンダのインストールについて RRS feed

  • 質問

  • Windows Server 2008 R2 サーバ (Role:Active Directory 証明機関/Active Directory ドメインサービス/DNS/IIS) に対して、このサーバをOCSPサーバ
    (オンラインレスポンダ)にすべく、設定してみたのですが、エンタープライズPKI(PKIView)でエラーがでてしまいます。
    エラーと判断している要因は、 「OCSPの場所#1」の状態をエラーと判断しているようです。 OCSPの場所の指定は http://このサーバのFQDN/ocsp としています。

    オンラインレスポンダのインストールは
      http://technet.microsoft.com/ja-jp/library/cc732526.aspx (文字だけの説明でいまいちわかりにくい)
      http://windowsitpro.com/Windows/Articles/ArticleID/103523/pg/3/3.html (絵もありわかりやすいが、上と微妙に手順が異なる)
      http://technet.microsoft.com/ja-jp/library/cc770413(WS.10).aspx (情報量は多いがごちゃごちゃしていてわかりにくい..)
    を参考にしつつ、

    1. オンラインレスポンダ役割サービスの追加
    2. CA(エンタープライズ)のプロパティ、拡張機能タブの AIA(機関情報アクセス)に http://CAのFQDN/ocsp を追加
    3. 証明書テンプレートスナップインから 「OCSP応答の署名」テンプレートに、CAのコンピュータアカウントを追加、読み取りと登録のアクセス許可を設定
    4. 証明機関スナップイン、証明書テンプレートから「OCSP応答の署名」のテンプレートを発行
    5. オンラインレスポンダ管理ツールから、失効構成を追加

    を行ったところで、上記のエラーに気づきました。
    場所のエラーなので、アクセスできないのかと思い IEから上記のURIにアクセスすると 403.4 (SSLで保護されている)となります(これが原因なのでしょうか?)

    どのように対処すればいいのかアドバイスいただけるとうれしいです。
    よろしくお願いします。
    2010年2月10日 14:16

回答

  • 書籍に書いてある手順全部は書けないので肝心な所を抜書きしますね。

     

    オンラインレスポンダは、Windows Server 2008 EnterpriseまたはWindows Server 2008

    Datacenterを実行している任意のコンピュータにインストールできます。

    クライアントとしてオンラインレスポンダに問い合わせることができるのはWindows Vista以上、Windows Server 2008のみです。

     

    (以上の条件を満たしていたと仮定して)

    「役割サービスの選択」画面で[オンラインレスポンダ]をクリックしたときWebサーバー(IIS)Windowsプロセスアクティブ化サービスは追加されましたか。

     

    CA管理者が[証明書テンフレート]スナップインを起動したとき詳細ペインで、[OCSP応答の署名]テンプレートを右クリックし、[テンプレートの複製]をされましたか。複製したテンプレートを右クリックし[セキュリティ]タブをクリックし、[グループ名またはユーザー名][追加]をクリックし、オンラインレスポンダサービスをホストしているコンピュータを選択されましたか。オンラインレスポンダの役割を持つコンピュータの名前をクリックし、[読み取り]および[自動登録]のアクセス許可を与えます。

     

    CA管理者が、[証明機関]スナップインを起動し、CAの名前をクリックし、[操作]メニューの[プロパティ]をクリックし、[拡張機能]タブをクリックします。[拡張機能を選択してください]ボックスの一覧で、[機関アクセス(AIA)]を選択します。

    [発行された証明書のAIA拡張機能に含める][OCSP(Online Certificate Status Protocol)拡張に含める]チェックボックスをオンにします。以下のように、CRLを取得できる場所を指定します。

     

    http://<オンラインレスポンダのコンピュータ名>/ocsp


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク orz-style 2010年2月19日 13:18
    2010年2月12日 6:56

すべての返信

  • Web サイトが SSL を必要とするように構成されている場合には、SSL 機能を削除してください。

    http://technet.microsoft.com/ja-jp/library/dd439365(EXCHG.80).aspx

    http://technet.microsoft.com/ja-jp/library/cc757907(WS.10).aspx

     

    なお、オンラインレスポンダについてはしたの書籍のP348からP351までに書かれています。

    http://www.seshop.com/detail.asp?pid=9457


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年2月11日 8:06
  • レスありがとうございます。

    IISでSSLを使用しないように設定してみましたが、エンタープライズPKIでのエラーは解消されませんでした。単純にhttpでアクセスできないだけというわけでは
    ないようですね...

    ご紹介いただいた書籍は持っていませんので、確認できておりません... 何かしら手順を間違えているのでしょうか...
    2010年2月11日 12:29
  • 書籍に書いてある手順全部は書けないので肝心な所を抜書きしますね。

     

    オンラインレスポンダは、Windows Server 2008 EnterpriseまたはWindows Server 2008

    Datacenterを実行している任意のコンピュータにインストールできます。

    クライアントとしてオンラインレスポンダに問い合わせることができるのはWindows Vista以上、Windows Server 2008のみです。

     

    (以上の条件を満たしていたと仮定して)

    「役割サービスの選択」画面で[オンラインレスポンダ]をクリックしたときWebサーバー(IIS)Windowsプロセスアクティブ化サービスは追加されましたか。

     

    CA管理者が[証明書テンフレート]スナップインを起動したとき詳細ペインで、[OCSP応答の署名]テンプレートを右クリックし、[テンプレートの複製]をされましたか。複製したテンプレートを右クリックし[セキュリティ]タブをクリックし、[グループ名またはユーザー名][追加]をクリックし、オンラインレスポンダサービスをホストしているコンピュータを選択されましたか。オンラインレスポンダの役割を持つコンピュータの名前をクリックし、[読み取り]および[自動登録]のアクセス許可を与えます。

     

    CA管理者が、[証明機関]スナップインを起動し、CAの名前をクリックし、[操作]メニューの[プロパティ]をクリックし、[拡張機能]タブをクリックします。[拡張機能を選択してください]ボックスの一覧で、[機関アクセス(AIA)]を選択します。

    [発行された証明書のAIA拡張機能に含める][OCSP(Online Certificate Status Protocol)拡張に含める]チェックボックスをオンにします。以下のように、CRLを取得できる場所を指定します。

     

    http://<オンラインレスポンダのコンピュータ名>/ocsp


    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    • 回答としてマーク orz-style 2010年2月19日 13:18
    2010年2月12日 6:56
  • ご丁寧にありがとうございます。

    ご指摘いただいた点で気になるのは、証明書のテンプレートの複製についてですね。これは行っていません。それ以外のアクセス許可の設定などは行っていますが。
    Windowsプロセスアクティブ化サービスについては、オンラインレスポンダをインストールする時点で、IISは導入済みだったせいか、オンラインレスポンダ
    をインストールするときにIISについてはなにも聞かれませんでした。

    証明書のテンプレートの複製については、実は迷ったところでした。が、TechNetの記事を読むとWindows Server 2003向けの対処のように読み取れたので
    複製はしていません。 それと、複製の意図がわからなかったのでオリジナル保存のために複製しているのかなと判断したためです。

    他の点についてはあってそうなので、もう一度最初からやってみようかと思います。

    2010年2月14日 16:44
  • 証明書テンプレートのあたりからやり直してみました。以前の作業ログと比べて違う点は
     1. テンプレートの複製を実行した
     2. "オンラインレスポンダの役割を持つコンピュータの名前をクリックし、[読み取り]および[自動登録]のアクセス許可を与えます"の部分は以前は、
         「読み取り」と「登録」にチェックをしていた (TechNetの記事に従ったつもりなのですが...)
    の2点だと思います。
    結果として、エンタープライズPKIの診断画面でのエラーは解消されました。
    ただ、 "[発行された証明書のAIA拡張機能に含める][OCSP(Online Certificate Status Protocol)拡張に含める]チェックボックスをオンにします" の
    部分ですが、 「OCSP拡張に含める」のみにチェックをいれました。両方ともチェックを入れると エンタープライズPKIの診断画面で、「AIAの場所#2」のエントリ
    が作成され、これがエラーになったためです。

    なにはともあれ一歩前に進むことができました。ありがとうございます。
    2010年2月15日 15:24