none
LDAPによるCRLの取得について RRS feed

  • 質問

  •  

    ADのドメインサーバにWindows 2003 Server Enterprise Edition(R2)でエンタープライズCAを構築しました。

    証明書は802.1xの無線クライアントで使用します。発行した証明書を失効する為に、CRLを発行しましたが

    無線クライアント及び、認証サーバでLDAPによるCRLの取得ができません。IISによるHTTP経由でのCRL取得は

    確認できています。

    本件、セキュリティーの事を考え、IISは使用せず、LDAPによる失効リストの取得を考えています。

     

    質問は以下の内容です。

     

    ・無線クライアント、認証サーバでLDAPによるCRLの取得の手順をご教授頂いたいです。

    ・CA構築後に証明書に記述されるLDAPのURLではCRLの取得が可能であるか。また、可能である場合

    のその手順。

     

    上記内容までの切り分けとして、コンソールツールの「Enterprise PKI」にて、LDAPのURLでADとCA間の

    ステータスはOKと表示されています。また、ADで「ADSI.Edit」でCRLオブジェクトが存在する事を確認しています。

     

    エンタープライズCAを使用してLDAPによるCRLの取得に関して、ご存知のかたいらしゃいましたら、

    ご教授お願いします。

     

    2009年1月4日 15:34

回答

  • チャブーンです。

     

    HTTP による CRL の公開と (Active Directory ) LDAP のそれで、いちばん異なる点はアクセス時に認証が必要になる、ということです。

     

    グリーンさんが構築する環境が具体的にどうなっているかはわかりませんが、Active Directory LDAP で CRL を公開する環境は基本、CRL を必要とするコンピュータや機器が Windows 認証あるいは LDAP 認証済みの状況で CRL を取得にいく (クライアントコンピュータならドメインに参加済み=コンピュータベースで認証が行われている等)が必要です。そうでなければ認証を行わなくても (匿名アクセスで) LDAP から情報を引き出せるよう Active Directory 側を構成し直さなければならないでしょう (作業が割と面倒なうえ、セキュリティレベルが下がります、当たり前ですが)。

     

    IEEE 802.1x との兼ね合いは置いておいて、Windows PKI 環境でクライアントが CRL 配布元にアクセス可能かどうか、については、certutil -url <LDAP ベース CRL の URL> で状況を確認できるでしょう。インポートを行いたい、という場合 certutil -addstore CA コマンドを使うことになります。MS PKI チームのブログにも情報があるようです。

     

    Windows PKI blog : Basic CRL checking with certutil

     

    Windows PKI blog : Update: Import the Root CA Certificate and CRL into an Intermediate CA from a Batch File

     

    なお、certutil コマンドは Windows Vista には標準でありますが、Windows XP には標準ではありません。たしか Active Directory 管理ツールをインストールすると追加されるツールだったはずです。

     

    Windows Server 2003 Administration Tools Pack

     

    2009年1月13日 1:46
    モデレータ

すべての返信

  • グリーン さん、こんにちは。フォーラムオペレーターの鈴木裕子です

     

    LDAPでのCRL取得の手順をお知りになりたいということだったので、何か資料がないものか調べてみたのですが、私の検索能力のせいもあるのかもしれませんが、調べた範囲ではまとまったドキュメントや、手順が書かれているようなものは見つからず。。。(グリーン さんもそうでいらしたのかもしれませんが)。
    まわりの詳しい人に聞いてみたところ、圧倒的にIISでの受け渡しで行っているケースが多いため、LDAPによる方法の資料はほぼないそうなんです・・・・お力になれずごめんなさい。

     

    ただ、発生していらっしゃるトラブルを解決するという方向であれば、もう少し、環境やテストの手順などを投稿していただくと、情報が集まってくる可能性があるのではないかなと思います(手順がわかると、同じ環境を構築をされたことのある方がコメントくださるかもしれませんし・・・)。もしよろしければ、情報を再投稿してみて下さい。
    その場合、下記のような情報がわかると良いのではないかなと思います。

     

    1.LDAPでCRLを受け渡ししている手順(例えば、グリーン さんが参考にされたサイトなどがあれば、それを提示していただけると、他の方も状況がわかりやすいと思います。もしかしたらですが、試してみて下さる方もいるかもしれませんし・・・)
    2.「認証サーバー、クライアントが取得できていない」というのをどのように判断したか(何かエラーが出ているのであればその状況とか、確認されている画面とか、失効した状態でログインしてみて確認している、というような点)

     

    あと、ご投稿の内容からは、認証サーバーがWindowsかどうか(IASサーバーか)がはっきりわからなかったので、その点も明記いただいた方が良いと思います!

     

    すぐにお役にたてる情報でなくて申し訳ないのですが、よろしければ、上記のような情報を再投稿してみて下さい!
    お待ちしております。

    2009年1月7日 9:34
    モデレータ
  • チャブーンです。

     

    HTTP による CRL の公開と (Active Directory ) LDAP のそれで、いちばん異なる点はアクセス時に認証が必要になる、ということです。

     

    グリーンさんが構築する環境が具体的にどうなっているかはわかりませんが、Active Directory LDAP で CRL を公開する環境は基本、CRL を必要とするコンピュータや機器が Windows 認証あるいは LDAP 認証済みの状況で CRL を取得にいく (クライアントコンピュータならドメインに参加済み=コンピュータベースで認証が行われている等)が必要です。そうでなければ認証を行わなくても (匿名アクセスで) LDAP から情報を引き出せるよう Active Directory 側を構成し直さなければならないでしょう (作業が割と面倒なうえ、セキュリティレベルが下がります、当たり前ですが)。

     

    IEEE 802.1x との兼ね合いは置いておいて、Windows PKI 環境でクライアントが CRL 配布元にアクセス可能かどうか、については、certutil -url <LDAP ベース CRL の URL> で状況を確認できるでしょう。インポートを行いたい、という場合 certutil -addstore CA コマンドを使うことになります。MS PKI チームのブログにも情報があるようです。

     

    Windows PKI blog : Basic CRL checking with certutil

     

    Windows PKI blog : Update: Import the Root CA Certificate and CRL into an Intermediate CA from a Batch File

     

    なお、certutil コマンドは Windows Vista には標準でありますが、Windows XP には標準ではありません。たしか Active Directory 管理ツールをインストールすると追加されるツールだったはずです。

     

    Windows Server 2003 Administration Tools Pack

     

    2009年1月13日 1:46
    モデレータ
  • こんにちは、フォーラムオペレーターの鈴木裕子です

     

    チャブーン さん、いつもとても丁寧な回答ありがとうございます。

     

    グリーン さん、その後いかがでしたでしょうか?きっと色々とトライされて、前進されていると思います!

    その後の状況が気になるところなのですが、情報があまりない分野の内容ですし、ぜひこちらのスレッドを他の方にも活用していただきたいと思い、勝手ながら私の方で回答チェックをつけさせていただきました。

    もし問題が未解決でしたら、遠慮なくチェックを解除して、引き続きご投稿してください。

     

    もし問題が解決されていた場合は、お時間のある時でよいので、ぜひ経緯をご投稿いただけるととてもうれしいです

    同様の運用を検討されている方は、きっと同じように情報を探してらっしゃると思うので、グリーン さんの情報は多くの人の参考になると思いますので!よろしければ、ぜひお願いします。

     

    これからもIT技術者の皆様の情報交換の場として、Forumをご活用くださいね!よろしくお願いします。

    2009年1月23日 2:59
    モデレータ