かなり昔になりますが、無線LANの認証の為に、マイクロソフトの認証局を構築してからずいぶんになりますが、そのころは、Windows Server 2003でまだ、セキュリティってそこまで重要視されていない時代でしたが、あれから10年以上経過して、企業の情報漏えいだったり、公開サーバの不正アクセスなど、セキュリティ事故が増えることにより、セキュリティに対しての意識が大きく変わっています。
最近では、ADの通信も暗号化されるということで、今年の後半に強制的に暗号化通信されるパッチが適用されるかもということで、会社でも話題になりました。今後は、証明書による暗号化通信は当たり前になってくるかもしれないですね。
内部通信はまだまだ非暗号化ということがありますが、それも徐々に減っていきそうです。その分、インフラエンジニアのトラブルシューティングが大変になりそうですが。
そして、今回は、Windows 2019 ADのGPOでルート証明書をWindows10のストアに自動配布する設定についてです。
最近ではセキュリティ製品でルート証明書をチェックするようになったりしていて、Windows端末にルート証明書を配布する必要があるケースが増えています。数年前になりますが、VMwareの仮想デスクトップの証明書警告を消すために、同様にADCSを構築して、ルート証明書を配布したことがあります。
ということで、今後はもはや必須になりそうな、ルート証明書の配布ですが、端末設定時にも配布できますが、ADのGPOを使って自動配布することが可能です。
特に端末台数が多い場合は、手で配布するって現実的ではないので、GPOを使ったほうが効率的です。
では、Windows Server 2019 ADのGPOでルート証明書をWindows10のストアに自動配布する設定です。
参考元はこちら。
グループポリシーを使用してクライアントコンピューターに証明書を配布する
手順です。
①グループポリシーを使用してクライアントコンピューターに証明書を配布するには
アカウントパートナー組織のフォレスト内のドメインコントローラーで、グループポリシー管理スナップを開始します。
②既存のグループポリシーオブジェクト (GPO) を検索するか、証明書の設定を含む新しい GPO を作成します。 GPO がドメイン、サイト、または組織単位 (OU) に関連付けられていることを確認します。これは、適切なユーザーアカウントとコンピューターアカウントが存在する場所です。
③GPO を右-クリックし、 [編集] をクリックします。
④コンソールツリーで、[コンピューターの構成]、[Windows の\設定]、[セキュリティの\設定]、 [公開キーのポリシー] の順に開き、 [信頼されたルート証明機関] を右-クリックして [インポート] をクリックし\\ます。
⑤[証明書のインポートウィザードの開始] ページで、 [次へ] をクリックします。
⑥[インポートするファイル] ページで、適切な証明書ファイルへのパスを入力します。たとえば、\\fs1\c $\fs1 .cer)(、 [次へ] をクリックします。
⑦[証明書ストア] ページで、 [証明書をすべて次のストアに配置する] をクリックし、 [次へ] をクリックします。
⑧[証明書のインポートウィザードの完了] ページで、入力した情報が正しいことを確認し、 [完了] をクリックします。
文字だと分かりにくいですが、mmcでPC端末に証明書をインポートするときと同様の感覚で証明書をインポートしていくだけです。この際、信頼されたルート証明書、中間証明書など、証明書の用途に合わせてインポートすることが可能です。
GPOはなるべく管理しやすいように内容に合わせて新規作成して、動作確認することをお勧めします。ちなみに最近知ったのですが、オンラインのPCなどは、WindowsUpdateによってルート証明書を更新しているようです。確かに、オフライン環境だと、ルート証明書がなくて、ソフトウェアによっては正常に動作しないことがあるんです。証明書関連の問題はこれからも悩まされそうですね。
