none
NAP 802.1x構成時のActive Directory 証明書サービスの構成先及び障害時の動作について RRS feed

  • 質問

  • 平田と申します。
    お世話になっております。

    Windows 2008 R2 NAPを802.1xで構成した場合の、Active Directory 証明書サービスの構成先及び障害時の問題につきましてご質問させてください。

    質問1
     Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか?
     ・エンタープライズルートCAで構成
     ・構成するサーバはドメインコントローラ

    質問2
     Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか?
     ・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
     ・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。(数日程度の短期停止であれば、問題は発生しない)

    ご回答をお待ちしております。

    • 移動 Jundan Wu 2012年10月3日 17:22 (移動元:Windows Server 2008 R2 全般)
    2011年5月27日 5:15

回答

  • なるほど

    NPSサーバーに使用するコンピューター証明書をAD CSを使用して発行するということですね。

    私の認識では

    質問1
     Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか?
     ・エンタープライズルートCAで構成
     ・構成するサーバはドメインコントローラ

    別にDCにAD CSを導入するのは必須ではありません。他のメンバーサーバーに導入することも可能です。エンタープライズCAにすることによってバージョン2や3のテンプレートを使用した証明書を発行できるのでNAPで使用するNPS以外にも使用できるということでしょうか。

    質問2
     Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか?
     ・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
     ・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。(数日程度の短期停止であれば、問題は発生しない)

    基本的に検疫自体に証明書は絡まないはずです。あくまでも検疫制御に証明書が必要なのはIPSec NAPです。PEAP-MS-CHAP v2を使用した認証においては、NPSの証明書が検証されます。それもクライアントがNPSを確認する際に使用する(設定によって無効にできる)ものと認識しています。

    そのことから、クライアントがNPSのコンピューター証明書に入っている発行されたCAのデジタル署名を確認する際に、AD CSがダウンしているとクライアント側にあるCAから発行されたサーバー証明書の最新の有効期間(CRL)が確認出来ない可能性が発生します。その際のクライアント側の動作は802.1xでのNAPを構成したことがないのでどのような挙動が発生するのかは不明です。

    またCTCさんで検証された手順が公開されていました。

    http://www.ctc-g.co.jp/MungoBlobs/914/722/NAP_stepbystep_802.1x_RC1.pdf

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/

    2011年5月30日 12:23
    モデレータ

すべての返信

  • 802.1x NAPではAD CS環境は必須要件に入っていません。必要なのは802.1x 対応の機器になります。

    AD CS が必要なNAP環境は、IPSec NAP になります。

    ですので質問自体が???ということになりますが・・・

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年5月27日 6:20
    モデレータ
  • ABE NAOKI様

    平田です。
    ご回答をありがとうございます。

    情報が不足しており申し訳ございません。
    今回802.1xのNAPでも、情報量が多い、PEAP-MS-CHAP v2とActive Directory 証明書サービスで構成することを想定しております。

    上記構成とした場合での回答をいただけますと幸いです。

    よろしくお願いいたします。

    2011年5月30日 2:01
  • なるほど

    NPSサーバーに使用するコンピューター証明書をAD CSを使用して発行するということですね。

    私の認識では

    質問1
     Windows 2008 R2 NAPを802.1xで構成したい為、Active Directory 証明書サービスを構成する場合、以下条件があるとの認識であっておりますでしょうか?
     ・エンタープライズルートCAで構成
     ・構成するサーバはドメインコントローラ

    別にDCにAD CSを導入するのは必須ではありません。他のメンバーサーバーに導入することも可能です。エンタープライズCAにすることによってバージョン2や3のテンプレートを使用した証明書を発行できるのでNAPで使用するNPS以外にも使用できるということでしょうか。

    質問2
     Windows 2008 R2 NAPを802.1xで構成し、Active Directory 証明書サービスを構成したサーバがダウンした場合、以下障害が発生するとの認識であっておりますでしょうか?
     ・Active Directory 証明書サービスを構成したサーバがダウン中は、新規PCが正常に検疫できない。
     ・Active Directory 証明書サービスを構成したサーバがダウン中は、証明書の更新がされない為、一部端末が正常に検疫できなくなる可能性がある。(数日程度の短期停止であれば、問題は発生しない)

    基本的に検疫自体に証明書は絡まないはずです。あくまでも検疫制御に証明書が必要なのはIPSec NAPです。PEAP-MS-CHAP v2を使用した認証においては、NPSの証明書が検証されます。それもクライアントがNPSを確認する際に使用する(設定によって無効にできる)ものと認識しています。

    そのことから、クライアントがNPSのコンピューター証明書に入っている発行されたCAのデジタル署名を確認する際に、AD CSがダウンしているとクライアント側にあるCAから発行されたサーバー証明書の最新の有効期間(CRL)が確認出来ない可能性が発生します。その際のクライアント側の動作は802.1xでのNAPを構成したことがないのでどのような挙動が発生するのかは不明です。

    またCTCさんで検証された手順が公開されていました。

    http://www.ctc-g.co.jp/MungoBlobs/914/722/NAP_stepbystep_802.1x_RC1.pdf

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/

    2011年5月30日 12:23
    モデレータ
  • ABE NAOKI様

    平田です。
    ご回答をありがとうございます。

    質問1につきましては、別サーバでもいいんですね。
    情報をありがとうございます。構成するサーバを含めて検討したいと思います。

    質問2につきましては、やはりやってみないとわからない形ですね。
    評価環境を構築し実施することも考えたいと思います。

    ご回答をありがとうございました。

    2011年5月31日 9:17