none
マルチドメイン認証がうまくいかない RRS feed

  • 質問

  • マルチドメイン認証のためのサーバ証明書が機能してくれないので困っています。
    CAサーバは hoge.domain.jp のDCです
    証明書取得のためCAサーバ(https://CAserver.hoge.domain.jp/certsrv/)に接続して、「追加属性」に
    san:dns=hoge.domain.jp&dns=hoge.domain.co.jp
    と入力して証明書を発行していますが、発行された証明書をインストールした結果はhoge.domain.jp の方だけが認証され、hoge.domain.co.jp の方は証明書エラーになります。
    また、認証された hoge.domain.jp に接続しているブラウザの錠前マークをクリックしても hoge.domain.co.jp の方は表示されません。

    マルチドメイン認証にはあと何が足らないのでしょうか

    • 編集済み iwasa 2019年10月8日 5:34
    2019年10月8日 4:22

回答

  • チャブーンです。

    この件ですが、「エンタープライズCA」を使っているならですが、「証明機関Web登録」を使って証明書を発行する必要はそもそもありません。グループポリシーで証明書を発行するように設定し、その際「特定のサーバーorクライアント」上でだけ発行させるようにアクセス許可を調整すれば、(サーバーへのログオン権限を調整すれば)セキュリティ設定は向上するでしょう。その際、利用するテンプレートについて、「追加設定が可能」なように構成しておけば、SANを発行時に追加設定させることもできます。

    Windows証明機関としては、エンタープライズCAであっても、申請された証明書の発行許可を手動で実施させることはできます。また、アクセス許可(発行・管理が可能なユーザー)については、別途設定できるので、特定のユーザーに委任する、という方法もあるようには、思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク iwasa 2019年10月11日 5:30
    2019年10月9日 9:48
  • チャブーンです。

    返答ありがとうございます。すみませんが、本件すこし修正します。

    グループポリシーで証明書を発行するように設定し、その際「特定のサーバーorクライアント」上でだけ発行させるようにアクセス許可を調整すれば、

    こちらですが、正確にはグループポリシーではなく、「証明書テンプレート」のアクセス許可で制御します。証明書テンプレートはエンタープライズCAで使えるもので、必要な証明書形式や仕様に添って、発行する証明書を再定義することができます。証明書テンプレートを公開すると、コンピューターやユーザーは「証明書スナップイン」から証明書の発行を要求することができます。その際、どのコンピューターやユーザーに発行を許可するか、アクセス許可を設定できます。

    https://ascii.jp/elem/000/000/535/535540/index-2.html


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク iwasa 2019年10月17日 6:09
    2019年10月11日 7:43

すべての返信

  • こんにちは。

    古い資料ですが、以下に記載のある

    セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法

    ---
    certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    net stop certsvc
    net start certsvc
    ---

    は実施済みでしょうか。
    デフォルトではSAN 拡張子を含んだ証明書は発行されません。

    補足となりますが、以下資料も参考になるかと思います。
    参考:
    (フォーラム)
    ADCS & Wildcard Certs RRS feed
    サブジェクトの別名を有効にするには?

    (公式情報)
    新しい Exchange Server 自己署名証明書を作成する
    How to Request a Certificate With a Custom Subject Alternative Name

    2019年10月8日 8:49
  • 返信ありがとうございます。

    >certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
    >デフォルトではSAN 拡張子を含んだ証明書は発行されません。

    やはりこうするしかないんですかね

    https://blog.keyfactor.com/hidden-dangers-certificate-subject-alternative-names-sans

    上記を含むいくつかのサイトで、「エンタープライズCAでこれやると内側にワルイやつがいたときに好き放題されちゃうからやめなさい」的な記述があったので、ほかに方法はないかなーと思ってたんです。

    ありがとうございます、もう少し検討します

    2019年10月9日 1:07
  • チャブーンです。

    この件ですが、「エンタープライズCA」を使っているならですが、「証明機関Web登録」を使って証明書を発行する必要はそもそもありません。グループポリシーで証明書を発行するように設定し、その際「特定のサーバーorクライアント」上でだけ発行させるようにアクセス許可を調整すれば、(サーバーへのログオン権限を調整すれば)セキュリティ設定は向上するでしょう。その際、利用するテンプレートについて、「追加設定が可能」なように構成しておけば、SANを発行時に追加設定させることもできます。

    Windows証明機関としては、エンタープライズCAであっても、申請された証明書の発行許可を手動で実施させることはできます。また、アクセス許可(発行・管理が可能なユーザー)については、別途設定できるので、特定のユーザーに委任する、という方法もあるようには、思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク iwasa 2019年10月11日 5:30
    2019年10月9日 9:48
  • チャブーンさん、ありがとうございます

    なるほど、いただいたヒントをもとにして探ってみます

    ありがとうございました

    2019年10月11日 5:30
  • チャブーンです。

    返答ありがとうございます。すみませんが、本件すこし修正します。

    グループポリシーで証明書を発行するように設定し、その際「特定のサーバーorクライアント」上でだけ発行させるようにアクセス許可を調整すれば、

    こちらですが、正確にはグループポリシーではなく、「証明書テンプレート」のアクセス許可で制御します。証明書テンプレートはエンタープライズCAで使えるもので、必要な証明書形式や仕様に添って、発行する証明書を再定義することができます。証明書テンプレートを公開すると、コンピューターやユーザーは「証明書スナップイン」から証明書の発行を要求することができます。その際、どのコンピューターやユーザーに発行を許可するか、アクセス許可を設定できます。

    https://ascii.jp/elem/000/000/535/535540/index-2.html


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク iwasa 2019年10月17日 6:09
    2019年10月11日 7:43