none
AD FSの証明書認証で使用する証明書について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    お世話になります。

    AD FSを使用したOffice365へのシングル サインオン環境の構築について、
    多要素認証で証明書認証を使用する設定にしているのですが、
    ドメイン外クライアントからの認証に失敗してしまいます。

    サーバーはWindows Server 2012 R2、クライアントはWindows7を使用しています。
    現環境では、ADサーバーにAD CAのサービスをインストールし、
    クライアントから登録サービスを使用してユーザー証明書を要求・ダウンロードして行っています。

    公的な証明機関から取得した証明書ではなく自前の証明書なので、
    クライアント側で使用する証明書について何か必要な要件が足りていないのでしょうか。

    よろしくお願いいたします。
    2014年12月15日 0:45
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、ADFS多要素認証の証明書インストールですが、おそらくしたのような方法で行っていると思います。

    https://sophiakunii.wordpress.com/2014/03/27/adfs%E3%81%AB%E3%82%88%E3%82%8B%E5%A4%9A%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%81%AE%E8%A8%AD%E5%AE%9A/

    ----
    クライアントコンピューターへのユーザー証明書のインストール

    ADFSを経由して、多要素認証を利用して、各種サービスにアクセスするユーザーの場合、
     事前に証明書をインストールしておかなければなりません。証明書は次の方法でインストールすることができます。

    ブラウザーから、https://<証明書サービスをインストールしたサーバーのFQDN>/certsrv/と入力してアクセスします。このとき、証明書のエラーが表示される場合は、おそらくルート証明書をまだ認識していないと思いますので、gpupdate /forceで取得しておきましょう。
    ----

    ドメイン外クライアントの認証がうまくいかないということは、おそらくルート証明書をクライアントにインストールしていない、からではないでしょうか?ルート証明書はドメイン参加クライアントは自動的にインストールされますが、ドメイン外クライアントは手動でインストールする必要があります。

    2014年12月15日 1:20
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    返信ありがとうございます。

    証明書インストールの方法は上記のサイトを参考に行いました。

    また、手順の中でユーザー証明書の発行要求を送信する際に、
    CA証明書のインストールが必要です、という旨のメッセージが表示されたため、
    トップに戻り「CA証明書、証明書チェーン、またはCRLのダウンロート」から
    証明書をインストールした後、再度ユーザー証明書発行の要求を行いしインストールしました。
    しかし、証明書認証に失敗している状況です。

    上記の手順で記載にあるルート証明書のインストールは
    完了していると認識しているのですが、あっていますでしょうか。

    また、COMODOなどの証明機関からSSL証明書を取得してAD FSを構築している場合は
    クライアントに配布する証明書の種類・配布の方法などは変わってくるということでしょうか。

    申し訳ありませんが、よろしくお願いいたします。
    2014年12月15日 2:32
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ルート証明書ですが、「ローカルコンピューター」の証明書ストアの「信頼されたルート証明機関」内にインポートする必要があるはずです。OSのバージョンが違いますが、したの資料を参考にしていただくといいかもしれません。

    https://jp.globalsign.com/support/faq/10.html

    ドメイン環境では正常に動く、ということであれば、証明書ストアの内容を見比べてみる(個人ストアとルート証明機関のストアの2つが対象になるでしょう)ことで、わかることがあるかもしれません。
    2014年12月15日 6:51
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    返信ありがとうございます。

    この度、上記の返信に記載されている通り
    ドメイン内の仮想マシンで多要素認証を有効にし、
    証明書認証を検証しました。

    結果、Office 365にサインイン中に証明書の選択画面が表示され、
    グループ ポリシーによって配布したクライアント証明書を選択しましたが
    「ページが表示できません」と表示されサインインを完了することができませんでした。

    作成するクライアント証明書に問題があるように思えますが、
    以下のサイトを参考に作成しております。
    http://www.viva-musen.net/archives/25455924.html 

    今回の事象について、原因と見られる点、
    その他問題の所存について何かわかることがありましたら
    アドバイスいただけると幸いです。
    2014年12月15日 8:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    こちらの件ですが、当初の問題は解決し、別の問題が発生している、ということなのでしょうか?こちらの認識は以下の通りです。

    • ドメイン参加マシンは問題なく認証され、ドメイン非参加マシンでのみ問題が起こっている
    • ルート証明書の有無や配置場所については、確認中だがこちらにお知らせいただいていない

    同じシステム上の話しでも、違う問題が発生した、ということであれば、新規にスレッドを立てて、そちらでご質問いただいたほうがよいと思います。

    2014年12月17日 2:36
    |
    モデレータ