none
AD CS ドメインコントローラ証明書発行要求先のコントロール RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    エンタープライズCAが構成されるとドメインコントローラ証明書が自動配布されます。

    2階層とするAD CS認証局をエンタープライズCAで構築した場合、

    発行要求はどちらのCAに出されるのでしょうか?

    下位CA側に発行要求を出すようコントロールすることは可能でしょうか?

    [2階層CA]

     ルートCA(エンタープライズCA)

       ┗ 発行CA(エンタープライズCA)

          ┗  ドメインコントローラ証明書

    2018年8月7日 8:38
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、同一ドメイン内でのエンタープライズCAでの下位CAはサポートされていないのではないでしょうか?つまり最初からおっしゃるようなことは実現できないように思います。

    したのページには、その仕様はできない旨が書いてありますね。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/4699b10f-75a5-4e04-9f1f-573fe13a41d4/multiple-enterprise-subordinate-cas-in-one-domain?forum=winserversecurity

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク Yasuharu Ito 2018年8月23日 7:22
    2018年8月23日 5:37
    |
  • Question
    サインインして投票
    0
    サインインして投票
    備忘録を兼ねて記載

    以下の条件でテストしたところドメインコントローラ証明書の自動発行要求先を任意のCAに寄せることが可能であった。

    テンプレートの配置
      ルートCA テンプレート「ドメイン コントローラ」無効
      発行CA  テンプレート「ドメイン コントローラ」有効

    配置方法
      無効にする場合
      (MMC)証明機関→証明書テンプレートからテンプレート「ドメイン コントローラ」削除


    「WindowsServer2008 PKI&認証セキュリティ大全」を入手、それによると
     ・ドメインコントローラ証明書発行に使用されるテンプレートは「ドメイン コントローラ(DomainController)」固定
     ・有効なテンプレートがエンタープライズCAに存在するか検索する事を匂わすニュアンスの記述あり


    [参考資料]

    マイクロソフト公式解説書「WindowsServer2008 PKI&認証セキュリティ大全」より引用

    26.2 ドメインコントローラの証明書の展開 p694
    [自動証明書要求の設定](ACRS)のグループポリシーオブジェクト(GPO)では
    証明書テンプレートを明示的に指定しませんが、ドメインコントローラは、
    発行CAに「ドメインコントローラ」証明書テンプレートがあれば、そのテンプ
    レートに基づく証明書を自動的に要求するようにハードコーディングされている。
    • 回答としてマーク Yasuharu Ito 2018年12月6日 1:04
    2018年8月29日 2:01
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    フォーラム オペレーターの栗下 望です。
    Yasuharu Ito さん、こんにちは。

    2 階層とする ADCS 認証局をエンタープライズCAで構築した場合、とのことですが
    ルート CA をエンタープライズ CA にする理由(質問の経緯)などがあれば記載いただいたほうが情報が寄せられやすくなるかもしれません。

    解決のヒントになる情報が含まれているかもしれませんので、
    エンタープライズ CA とスタンドアローン CA についての Docsも記載させていただきますね。

    ※リンクは IE で開けないようです

    ・Enterprise Certification Authorities
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc771443(v=ws.11)

    ・Stand-Alone Certification Authorities
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc755290(v=ws.11)

    情報をお持ちのユーザーがいらっしゃればお寄せいただけるかと思いますので、
    お待ちくださいませ。

    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望



    2018年8月9日 2:10
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ルートCAをエンタープライズCAで構想しているのはできる限り運用を楽にしたい観点です。

    標準ツールでCA証明書が更新でき自動的にメンバーにCA証明書が配信される。

    トラストモデル的な視点では、ルートCAをオフラインにしないとすると

    そもそも階層構造にする意味があるのか確かに疑問に思われる点かもしれないです。

    まだそこまで思索がめぐっていない。

    実際試してみたところ希望する仕様どおり発行CAにドメインコントローラ証明書の発行要求がでていましたが

    CAの階層構造が考慮された動作なのか不明ですね。

    管理ツール”エンタープライズPKI”の表示はルートCAを起点とした階層構造が表現されているので

    ADデータベースの情報から階層構造を判断できないわけではなさそうにみえるが果たして…
    2018年8月21日 2:47
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、同一ドメイン内でのエンタープライズCAでの下位CAはサポートされていないのではないでしょうか?つまり最初からおっしゃるようなことは実現できないように思います。

    したのページには、その仕様はできない旨が書いてありますね。

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/4699b10f-75a5-4e04-9f1f-573fe13a41d4/multiple-enterprise-subordinate-cas-in-one-domain?forum=winserversecurity

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク Yasuharu Ito 2018年8月23日 7:22
    2018年8月23日 5:37
    |
  • Question
    サインインして投票
    0
    サインインして投票

    確かにエンタープライズCAのリストに対してロードバランシング的にランダムに発行要求を出すとありますね。

    ドメインコントローラ証明書の発行要求先のコントロールが出来ないとの結論かと思います

    情報ありがとうございます。

    2018年8月23日 7:22
    |
  • Question
    サインインして投票
    0
    サインインして投票
    書き込みにある自動登録プロセスは
    前段でテンプレートによる発行処理が可能なエンタープライズCAの検索処理をおこなうとある

    もしかしたらテンプレートの配置によるコントロールが効く?
    ルートCAからテンプレート「ドメインコントローラ」を削除すればいいのかもしれない。

    少なくともテンプレートがなければルートCAでのドメインコントローラ証明書自動発行は抑止される。

    いずれにせよ有益な情報だったと思います。
    チャブーンさんありがとうございました。
    2018年8月23日 23:24
    |
  • Question
    サインインして投票
    0
    サインインして投票
    備忘録を兼ねて記載

    以下の条件でテストしたところドメインコントローラ証明書の自動発行要求先を任意のCAに寄せることが可能であった。

    テンプレートの配置
      ルートCA テンプレート「ドメイン コントローラ」無効
      発行CA  テンプレート「ドメイン コントローラ」有効

    配置方法
      無効にする場合
      (MMC)証明機関→証明書テンプレートからテンプレート「ドメイン コントローラ」削除


    「WindowsServer2008 PKI&認証セキュリティ大全」を入手、それによると
     ・ドメインコントローラ証明書発行に使用されるテンプレートは「ドメイン コントローラ(DomainController)」固定
     ・有効なテンプレートがエンタープライズCAに存在するか検索する事を匂わすニュアンスの記述あり


    [参考資料]

    マイクロソフト公式解説書「WindowsServer2008 PKI&認証セキュリティ大全」より引用

    26.2 ドメインコントローラの証明書の展開 p694
    [自動証明書要求の設定](ACRS)のグループポリシーオブジェクト(GPO)では
    証明書テンプレートを明示的に指定しませんが、ドメインコントローラは、
    発行CAに「ドメインコントローラ」証明書テンプレートがあれば、そのテンプ
    レートに基づく証明書を自動的に要求するようにハードコーディングされている。
    • 回答としてマーク Yasuharu Ito 2018年12月6日 1:04
    2018年8月29日 2:01
    |