ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

認証局、デジタル証明書

ADCS ユーザー証明書の自動登録 GPO(グループポリシー)設定

社内にマイクロソフトのWindows ServerでADCSを構築すると証明書を自動発行することが可能になります。商用と違い、証明書に費用がかからないので、社内運用管理が必要になりますが、簡単に証明書を発行することができるようになります。 証明書の利用用途は…

Anonymous Diffie-Hellman(ADH) 匿名鍵交換 なりすましの懸念がありセキュリティ的にリスクあり

最近はWEBサイトはSSL通信をしているサイトが増えて居ますが、証明書を使っている通信はすべて安心というわけではありません。Anonymous Diffie-Hellman(ADH) 匿名鍵交換 なりすましの懸念がありセキュリティ的にリスクあるようです。匿名というところからも…

Windows10 ローカルコンピュータの証明書ストアを開くコマンド certlm.msc

Windows10でローカルコンピュータの証明書ストアを開くコマンドについての情報になります。以前、無線LANの認証でクライアント証明書の配布を行った際に、確認でローカルコンピュータの証明書ストアを開くことがよくありましたが、GUIから開く場合はコマンド…

現在のユーザーの証明書ストアを開くコマンドはcertmgr.msc

証明書の管理などで現在のユーザーの証明書ストアを開いて確認したい場合があります。mmcコンソールから起動することも可能ですが、手順が煩雑で面倒なことがあります。 そこで、すぐに起動した場合のコマンドを紹介します。現在のユーザーの証明書ストアを…

ADCS導入後に自動配布されるドメインコントローラー証明書は秘密キーのエクスポート不可

ADCS導入後に自動配布されるドメインコントローラー証明書は秘密キーのエクスポートできるか実機で確認しましたが、テンプレートがバージョン1の古い証明書テンプレートで、エクスポートできない設定になっていました。 ADCS導入後、最初に発行されるのがド…

Windows10 Certreq.exe ユーティリティを使用してSANを含む証明書要求を作成

Windows10 Certreq.exe ユーティリティを使用してSANを含む証明書要求を作成する方法についての情報です。実は、WindowsでCSRを作成する際にはIISでしか実施したことがなく、IISが入っていないサーバ以外のWindowsサーバだったり、Windows10から証明書要求を…

エンタープライズCA LDAP証明書にサブジェクトの別名(SAN)を追加する方法

エンタープライズCA LDAP証明書にサブジェクトの別名(SAN)を追加する方法についての情報になります。今年、Active Directoryにて、Active Directory ドメイン環境内の LDAP 通信の安全性を向上するために、LDAP 署名、および LDAP チャネルバインディング (…

ADCS CertUtil: -backupKey コマンド エラーです: 0x8009000b 証明書バックアップ失敗の原因

ADCS CertUtil: -backupKey コマンド エラーです: 0x8009000b 証明書バックアップ失敗の原因について調査をしてみました。証明書関連の情報は意外と少ないので切り分けが大変ですよね。 例えば、ADCS(Active Directory証明書サービス)を運営していて、移行…

WindowsServer2016でエンタープライズCAの認証局の構築、導入時の注意点

最近、またまた学んだことですが、なぜテストをするのか?ということです。 それは、設定のミス、動作の不具合を見つけることです。だから、問題ないだろうということを確認するための担保なんです。だから、面倒でもテストはしっかりとやるべきということで…

ADCSではなくOpenSSLの証明書でLDAPS、LDAP署名を設定する方法と注意点

おそらく今年中には配信されるLDAP署名と LDAP チャネルバインディングが有効化。ちょっと勘違いしていた部分があったのですが、LDAPSはデフォルトで使用はできないのですが、証明書を置くことでLDAPS通信はできるそうです。これは本当に知らなかったです。L…

LDAPS署名用ドメインコントローラー証明書 ADCSで自動発行

少し前から話題になっているのですが、マイクロソフトは、LDAP チャネル バインディングと LDAP 署名 の強化の変更を有効にするセキュリティ更新プログラムを Windows Update でリリースする予定になっています。これに伴い、事前に検証、準備が必要になりま…

Microsoft CA局(ADCS)スペック、サイジングに参考になるパフォーマンスレポート

Microsoft CA局(ADCS)スペック、サイジングに参考になるパフォーマンスレポートに関する情報になります。 社内でWindowsサーバを使用して証明書を発行する場合は、ADCSを構築することで、社内用のCA局を構築することができます。 その際に、サイジングをする…

証明書の有効期限切れ通知のイベントメッセージ 有効期限切れの何日前か

証明書の有効期限切れ通知のイベントメッセージ 有効期限切れの何日前かという情報について参考になるのがこちらのフォーラム情報です。 以下は質問内容です。 いつもお世話になっております。サーバへ導入している証明書の期限切れの前日から、イベントログ…

エンタープライズCAとスタンドアロンCAの機能の違い

Windowsの証明機関を導入するにあたって、エンタープライズCAとスタンドアロンCAの機能の違いを知る事はとても大切です。両機能でできる事が異なりますので、事前に導入するシステムでどちらを利用すべきか要件を固めておきます。 ルート証明機関と下位の証…

Windows 2019 ADのGPOでルート証明書をWindows10のストアに自動配布設定

かなり昔になりますが、無線LANの認証の為に、マイクロソフトの認証局を構築してからずいぶんになりますが、そのころは、Windows Server 2003でまだ、セキュリティってそこまで重要視されていない時代でしたが、あれから10年以上経過して、企業の情報漏えい…

ADCS 証明機関でSHA1からSHA2への移行で参考になる手順

ADCS 証明機関でSHA1からSHA2への移行で参考になる手順です。まだ、移行ができていない場合に使えると思います。 サーバー認証証明書:CAは、2016年1月1日以降、SHA-2アルゴリズムのみを使用して新しい証明書の発行を開始する必要があります。Windowsは、201…

Windows Server 2012 R2のADCSをSHA1⇒SHA2へ移行する分かりやすい手順

Windows Server 2012 R2のADCSをSHA1⇒SHA2へ移行する分かりやすい手順が公開されていますので、まだ移行が完了していない方向けに共有します。 本当は自宅の検証環境で実行した結果を画面キャプチャつきでアップしたいのですが、時間がないのでとりあえずリ…

同じフォレスト、ドメイン内に複数のADCS ルートCA局を構築可能?

同じフォレスト、ドメイン内に複数のADCS 認証局を構築できるかということが気になったので調べてみたところ、問題なく構築できそうということが分かりました。 基本的に企業の同一フォレスト、ドメイン内に複数のADCS ルートCA局を構築することは少ないと思…

WebEx セットアップが失敗しました。もう一度お試し下さい。 証明書関連エラー

Cisco社の提供するWebExというテレビ会議システムで、ミーティングに参加しようとする際に以下のエラーメッセージが表示される場合があります。 「セットアップが失敗しました。もう一度お試し下さい。」 これに対する対処エラーメッセージ: セットアップに…

ADCSをSHA2に移行後 新しい証明書は新しいルート証明書が必要?

ADCSをSHA2に移行後 新しい証明書は新しいルート証明書が必要かどうか気になったのですが、あくまで情報となりますが、新しいSHA2の証明書を使う場合はSHA2のルート証明書が必要みたいです。 情報元※英語 http://www.cusoon.fr/update-microsoft-certificate…

ADCS CA局でワイルドカード証明書の発行方法

これまでインフラエンジニアとして3度ほどマイクロソフトのローカル認証局を構築したことがあります。ローカル認証局があると、色々と証明書が使えて便利です。最初に構築したのはWindows Server 2013のころで、最近はWindows Server 2019です。 例えば、無…

ADCSの削除、アンインストールは手順が複雑 発行済み証明書の失効などが必要

ちょっと検証で構築したADCSの削除しようと調べていたんですが、手順が想像していた以上に複雑だったので、備忘録代わりにメモです。発行済み証明書の失効など、色々と作業が必要になります。 簡単に作業できないレベルの手順量なので、実際に実施する場合は…

異なるサーバーでCSR証明書発行要求を作成した証明書をインポートすると秘密鍵が表示されない

普段、仕事で証明機関を操作する機会がないと分からないことが多いかもしれませんが、これまで何度か証明機関を構築してきたんですが、最近知ったことがあるので備忘録です。 それは、証明書の秘密鍵は証明機関から作成、提供されないということです。 これ…

証明書の秘密鍵はADCSのCA局、証明機関から作成、提供されない

最近まで知らなかったことがあるんですが、とても勉強になったので共有します。それは、証明書の秘密鍵はADCSのCA局、証明機関から作成、提供されないということです。 これまでは、CSRって誰が作成してもいいものだと思って勘違いをしていました。例えば、A…

WindowsServer2016 ADCSでも有効期限延長にレジストリ値のValidityPeriodUnitsの変更が必要

これまで何度か構築したことがありますが、会社内で証明書を気軽に使いたい場合は、Windows Server 2016にて、認証局を構築することができます。最近は仮想化基盤上で、Windowsサーバが構築し放題という環境が多いので、気軽に作成できます。 続いて、Window…

ADCS ローカル認証局で発行するコモンネーム、サブジェクト名のFQDNは自由に設定できる

最近、証明機関を触ることがなくて、ふとどうだったかなと思う事があるんですが、証明書を要求するする場合に、コモンネームを決めないといけないですが、これって自由に設定できるのかどうかという内容です。 例えば、ADCSの場合、エンタープライズCAを構築…

ADCS、IIS サーバー証明書の秘密鍵を復旧、リストアする手順

マイクロソフトの認証局を構築すると、社内で簡単に証明書を作成することができるようになるので、構築できるようになっていると便利です。また、Windows Server があれが簡単に構築ができるので、すぐに利用できますし、ADのグループポリシーを活用すれば、…

Active Directory証明書サービス(ADCS)の接続が遅い

Active Directory証明書サービス(ADCS)の接続が遅いという事象があるようです。情報元は海外のフォーラムに情報がありました。 情報元はこちら。 Active Directory Certificate Services slow to connect 以下は質問内容です。 RSATを使用して、Windows Serv…

OpenSSLでADCS発行のPKCS#7をPEM証明書形式に変換する方法

今回は、OpenSSLを使用してPKCS#7(.p7b)をPEM証明書形式に変換する方法について紹介したいと思います。 会社で証明書の発行を行いたい場合、シマンテックなどの企業から有償の証明書を購入することもできますが、社内システムの場合は、WindowsのADCS(Act…

ADCS Microsoft認証局で発行したサーバ証明書をLinux,Ubuntuで使用する

企業で証明書の発行を行いたい場合、有償の証明書を購入することもできますが、社内システムの場合は、WindowsのADCS(Active Directory証明書サービス)で発行した証明書を利用することもできます。 昔、Windows Server 2003の頃に初めて構築したのですが、時…