none
ローカルコンピュータ 個人証明書のアーカイブについて RRS feed

  • 質問

  • お世話になります。

    現状、WindowsServer2012R2にてNTPを構成し、

    WiFiの接続管理に使用する為、接続ポリシーの制約として認証方法に

    証明書を作成して登録しております。

    先日より、Wifiが急に接続できなくなる事が多々あり、

    確認してみると登録している証明書がタスクスケジュ―ラーに登録されている

    [タスクスケジューラー ライブラリ] >[Microsoft]>[Windows]>[CertificateServiceClient]>SystemTaskにて

    自動的に新規作成した証明書がアーカイブされてしまっている様子です。

    このタスクに影響しない様な証明書を作るにはどうすれば良いか、

    どなたかご存知の方はいらっしゃいませんでしょうか

    何卒よろしくお願いいたします。

    2017年9月15日 1:47

回答

  • チャブーンです。

    返信が遅れてしまい、すみません。

    すでに解決済みかもしれませんが、そもそも選択する証明書やポリシー設定が適切なものとはいえない、ように思います。それが今回の原因かはわかりませんが、直されることをお奨めします。

    WIFIクライアントが使用する「クライアント認証」に使われる証明書は、エンタープライズCAの証明書テンプレートを新規に作成し、それを公開する必要があります。ドメインコントローラー証明書をそのまま使おうとすることは不適切です。

    証明機関の[証明書テンプレート]-[管理]から証明書テンプレートスナップインを呼び出し、ここで証明書テンプレートに「ワークステーション認証」というテンプレートがあるので、これを複製してクライアント用証明書として構成します。[セキュリティ]で[Domain Computers]に対して[読み取り]と[登録]の権限をつけておきます。そのあと、証明機関の[証明書テンプレート]-[新規作成]-[発行する証明書テンプレート]で公開するテンプレートを指定できます。

    クライアントから証明書を要求する際、ドメインコントローラーではなく、そのWIFIクライアント用証明書を選択することができるようになるはずです。グループポリシーで自動配布するよう指定すると手間が少ないですが、現状ではそうされていないということですね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年9月22日 3:14
    モデレータ

すべての返信

  • チャブーンです。

    この件(NTPではなくてNPSだと思うのですが)、NPSサーバー証明書、クライアント証明書どちらの話しになるのでしょうか。

    自動といっているので、エンタープライズCA+グループポリシーの自動配布だと思いますが、ふつうはこういったことは起きないので、ひとまず使用した証明書テンプレートの詳細(なんの証明書テンプレートをこぴーしてどう変更したのか)と、証明書配布に関するグループポリシーの設定をお知らせいただいたほうがいいかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年9月15日 2:45
    モデレータ
  • ご連絡ありがとうございます。

    ご推測の通り、「NTP」ではなく、「NPS」ですね。失礼いたしました。

    今回はNPSではなく、クライアント証明書の話で良いのかなと思います(そも認識異なっていればすみません)

    作成時のストロークとしては

    [mmc] → スナップインの追加→[証明書]→[コンピューターアカウント]→[ローカルコンピュータ]を開き、

    証明書の登録:ActiveDirecroty 登録ポリシー

    証明書の要求:ドメインコントローラー を選択

    (キー使用法:デジタル署名・キーの暗号化、アプリケーションポリシー:クライアント認証、サーバ認証、有効期間:365日)

    プロパティを選択し、サブジェクトに共通名、国、ドメインコンポーネント、名、地域、都道府県、を入力(それ以外空白)


    以上で登録をクリックし、作成作成しております。

    ※上記で必要十分の情報となっておりますでしょうか?不安です。。


    2017年9月15日 3:45
  • チャブーンです。

    返信が遅れてしまい、すみません。

    すでに解決済みかもしれませんが、そもそも選択する証明書やポリシー設定が適切なものとはいえない、ように思います。それが今回の原因かはわかりませんが、直されることをお奨めします。

    WIFIクライアントが使用する「クライアント認証」に使われる証明書は、エンタープライズCAの証明書テンプレートを新規に作成し、それを公開する必要があります。ドメインコントローラー証明書をそのまま使おうとすることは不適切です。

    証明機関の[証明書テンプレート]-[管理]から証明書テンプレートスナップインを呼び出し、ここで証明書テンプレートに「ワークステーション認証」というテンプレートがあるので、これを複製してクライアント用証明書として構成します。[セキュリティ]で[Domain Computers]に対して[読み取り]と[登録]の権限をつけておきます。そのあと、証明機関の[証明書テンプレート]-[新規作成]-[発行する証明書テンプレート]で公開するテンプレートを指定できます。

    クライアントから証明書を要求する際、ドメインコントローラーではなく、そのWIFIクライアント用証明書を選択することができるようになるはずです。グループポリシーで自動配布するよう指定すると手間が少ないですが、現状ではそうされていないということですね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年9月22日 3:14
    モデレータ
  • こちらも遅くなりすみません。

    仰る通り、まずは直してみました所、証明書が自動的にアーカイブされる動きからは解放されました。

    ありがとうございます。

    いくつか試した結果、うまく行った手順を記載します。

    証明書期間の[証明書テンプレート]-[管理]から証明書テンプレートスナップインを呼び出し、

    ドメインコントローラーテンプレートを複製、[802.1x認証]と名称を変更し、デフォルト設定で作成

    証明書期間の[証明書テンプレート]-[新規作成]-[発行する証明書テンプレート]で[802.1x認証]を選択

    証明書の登録:ActiveDirecroty 登録ポリシー

    証明書の要求:802.1x認証を選択し、プロパティを選択し、サブジェクトに共通名、国、ドメインコンポーネント、名、地域、都道府県、を入力(それ以外空白)

    作成した証明書をNPSでネットワークポリシーにて、PEAP用の証明書として、上記証明書を選択

    これで、Wifi機器の802.1x認証に使用した際、MAC/Windows共に、初回接続時のみ確認が表示され、

    接続を選択した後、移行は通常通り接続できる様になりました。

    取り合えず、現状はこれで問題無いと考えております。

    チャブーンさん、本当に助かりました。ありがとうございました。

    2017年9月26日 13:44