none
AD-CS GPO自動配布したユーザー証明書をエクスポートさせたくない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    AD-CS機能を用いて、ユーザー証明書をグループポリシーの自動配布にて行う予定としております。

    現在、検証しているところで、ご質問させて頂きたいのですが、

    配布された証明書は、InternetExplorerからの操作でエクスポートできるようです。

    例えば、このエクスポートした証明書を個人PCなどにインポートすることで、有効な証明書として

    機能してしまうのでしょうか?

    現在、Idaasと連携し、特定クラウドサービスへの接続時に、証明書を利用した認証を確立し、

    会社所有PC(ドメイン参加PC)以外は接続させないポリシーとして、

    エクスポートをさせない仕組みや設定が施せたらと考えています。

    どなたか、お詳しい方がおわれましたらアドバイスを頂戴できますでしょうか。

    2017年8月23日 4:20
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、一番簡単な解決方法は、ユーザー証明書の設定のうち「秘密鍵のエクスポート」を無効にすることです。

    ユーザー証明書が正しく機能するのは、ユーザー証明書に紐付いた秘密鍵が存在している、必要があります。秘密鍵のエクスポートが無効になっている場合、IEでエクスポート処理をしても秘密鍵は取り出せないため、他のコンピューターにインポートしても、証明書として機能しません。

    AD CSで配っているということなので、「証明書テンプレート」を使って配布しているのだと思います。(配布している)ユーザー証明書の証明書テンプレートのプロパティを確認し、「秘密鍵のエクスポートを許可する」という設定がOFFになっていれば、エクスポートはできませんので、問題ありません。

    もしこの設定がONになっていれば、OFFに変更すればエクスポートができなくなります。ただし、この設定は証明書自身に個別に設定されているものなので、配布済みの証明書については、設定を変更できません。つまり、ユーザー証明書を改めて配布し、以前の証明書は無効化することになります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年8月23日 8:26
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、一番簡単な解決方法は、ユーザー証明書の設定のうち「秘密鍵のエクスポート」を無効にすることです。

    ユーザー証明書が正しく機能するのは、ユーザー証明書に紐付いた秘密鍵が存在している、必要があります。秘密鍵のエクスポートが無効になっている場合、IEでエクスポート処理をしても秘密鍵は取り出せないため、他のコンピューターにインポートしても、証明書として機能しません。

    AD CSで配っているということなので、「証明書テンプレート」を使って配布しているのだと思います。(配布している)ユーザー証明書の証明書テンプレートのプロパティを確認し、「秘密鍵のエクスポートを許可する」という設定がOFFになっていれば、エクスポートはできませんので、問題ありません。

    もしこの設定がONになっていれば、OFFに変更すればエクスポートができなくなります。ただし、この設定は証明書自身に個別に設定されているものなので、配布済みの証明書については、設定を変更できません。つまり、ユーザー証明書を改めて配布し、以前の証明書は無効化することになります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年8月23日 8:26
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさま

    アドバイスありがとうございます。

    そのアドバイスを受け、実際に早速、試してみました。

    ■ユーザー証明書のテンプレート証明書のプロパティにて「秘密鍵のエクスポートを許可する」=ON

     →秘密キーを含めてのエクスポートが可能となり、他のPCでインポートすることでInternetExplorer上の証明書[個人]に

       設定されることを確認。結果、証明書として機能した。

    ■ユーザー証明書のテンプレート証明書のプロパティにて「秘密鍵のエクスポートを許可する」=OFF 

     →秘密キーを含ませないエクスポートしかできず、そのエクスポートした証明書を他のPCへインポートしてもInternetExplorer上の

      証明書[個人]に設定されませんでした。結果、証明書としての機能がされませんでした。

    ありがとうございました。

    2017年8月24日 1:36
    |