エンタープライズCA LDAP証明書にサブジェクトの別名(SAN)を追加する方法についての情報になります。今年、Active Directoryにて、Active Directory ドメイン環境内の LDAP 通信の安全性を向上するために、LDAP 署名、および LDAP チャネルバインディング (LDAPS 利用時)を有効化を強制するパッチが適用される方針となっていますが、その際に、証明書を使用したLDAPS通信をさせるために、ADに証明書をインポートする必要があり、その為に必要なLDAP証明書に関する情報を記載します。
参考情報はこちら
セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法
証明書要求から SAN 属性を受け付けるように CA を構成する方法が紹介されています。
Windows Server 2003 ベースのコンピュータで構成されている CA は、デフォルトでは、SAN 拡張子を含む証明書を発行しませんとありますが、これはWindows Server 2016でも同様なので、引き続きレジストリの変更が必要になります。
また、この設定を行わないと、証明書要求に SAN エントリが含まれていても、これらのエントリは発行される証明書から除外されます。
その為、この動作を変更するには、証明機関 (CA) サービスを実行するサーバー上のコマンド プロンプトで、次のコマンドを実行します。
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc
続いて、Web 登録ページを使用して証明書要求をエンタープライズ CA に送信する方法の抜粋です。SAN を含む証明書要求をエンタープライズ CA に送信するには、次の手順を実行します。
①Internet Explorer を起動します。
②Internet Explorer で、http://servername/certsrv に接続します。
③[証明書を要求する] をクリックします。
④[証明書の要求の詳細設定] をクリックします。
⑤[この CA への要求を作成し送信する] をクリックします。
⑥[証明書テンプレート] ボックスの一覧の [Web サーバー] をクリックします。
⑦[名前] ボックスに、ドメイン コントローラの完全修飾ドメイン名を入力します。
⑧[キーのオプション] の下で、次のオプションを設定します。
・新しいキー セットを作成する
・CSP: Microsoft RSA SChannel Cryptographic Provider
・キー使用法 : 交換
・キーのサイズ : 1024 ~ 16384
・自動キー コンテナ名
・ローカル コンピュータの証明書ストアに証明書を格納する
⑩[追加オプション] の下の [要求の形式] で [CMC] をクリックします。
⑪[属性] ボックスに、必要な SAN 属性を次の形式で入力します。
san:dns=dns.name[&dns=dns.name]
例:san:dns=ad01.test.co.jp
複数の DNS 名を指定する場合は、アンパサンド (&) で区切ります。たとえば、ドメイン コントローラ名が corpdc1.fabrikam.com で、エイリアスが ldap.fabrikam.com の場合、これらの両方の名前が SAN 属性に含まれている必要があります。この場合、入力する属性文字列は、次のようになります。
san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
⑫[送信] をクリックします。
⑬[証明書は発行されました] Web ページが表示されたら、[この証明書のインストール] をクリックします。
以前、作業で発行した際にはIISでCSRを作成しました。IISがない場合は、Certreq.exe ユーティリティが使用可能です。
 |
