ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

認証局、デジタル証明書

WindowsServer2016 ADCSでも有効期限延長にレジストリ値のValidityPeriodUnitsの変更が必要

これまで何度か構築したことがありますが、会社内で証明書を気軽に使いたい場合は、Windows Server 2016にて、認証局を構築することができます。最近は仮想化基盤上で、Windowsサーバが構築し放題という環境が多いので、気軽に作成できます。 続いて、Window…

ADCS ローカル認証局で発行するコモンネーム、サブジェクト名のFQDNは自由に設定できる

最近、証明機関を触ることがなくて、ふとどうだったかなと思う事があるんですが、証明書を要求するする場合に、コモンネームを決めないといけないですが、これって自由に設定できるのかどうかという内容です。 例えば、ADCSの場合、エンタープライズCAを構築…

ADCS、IIS サーバー証明書の秘密鍵を復旧、リストアする手順

マイクロソフトの認証局を構築すると、社内で簡単に証明書を作成することができるようになるので、構築できるようになっていると便利です。また、Windows Server があれが簡単に構築ができるので、すぐに利用できますし、ADのグループポリシーを活用すれば、…

Active Directory証明書サービス(ADCS)の接続が遅い

Active Directory証明書サービス(ADCS)の接続が遅いという事象があるようです。情報元は海外のフォーラムに情報がありました。 情報元はこちら。 Active Directory Certificate Services slow to connect 以下は質問内容です。 RSATを使用して、Windows Serv…

OpenSSLでADCS発行のPKCS#7をPEM証明書形式に変換する方法

今回は、OpenSSLを使用してPKCS#7(.p7b)をPEM証明書形式に変換する方法について紹介したいと思います。 会社で証明書の発行を行いたい場合、シマンテックなどの企業から有償の証明書を購入することもできますが、社内システムの場合は、WindowsのADCS(Act…

ADCS Microsoft認証局で発行したサーバ証明書をLinux,Ubuntuで使用する

企業で証明書の発行を行いたい場合、有償の証明書を購入することもできますが、社内システムの場合は、WindowsのADCS(Active Directory証明書サービス)で発行した証明書を利用することもできます。 昔、Windows Server 2003の頃に初めて構築したのですが、時…

ADCSの発行したWindows証明書ストアのルート証明書をFireFoxで参照する設定

今回は、ADCSの発行したWindowsストアのルート証明書をFireFoxで参照する設定についての記事になります。 まず、社内で費用をかけずにサーバ、クライアントの証明書を使う場合、Windows Server 2016で使えるADCSがおすすめです。 気軽に構築できて、色んな用…

マイクロソフト ADCS ワイルドカード証明書、SAN サブジェクトの別名証明書の違い

ADCSでは、ワイルドカード証明書、SAN サブジェクトの別名証明書を発行することができます。 ADCSはWindows Serverが使えれば費用をかけずに構築できるのでおすすめです。私が初めて構築したのはWindows Server 2003の時代だったと思います。 それから、何度…

マイクロソフト認証局でThe Data is invalid. 0xd (Win32:13) が出力されて証明書サービスが起動に失敗

マイクロソフト認証局でThe Data is invalid. 0xd (Win32:13) が出力されて証明書サービスが起動に失敗するという事象があるようです。 Certificate Server Serviceでレジストリをバックアップおよび復元する方法開始せず、エラーが表示されます: データが…

ローカル認証局 ADCS 0X8007000D (WIN32: 13)の証明書エラー

ローカル認証局 ADCS 0X8007000D (WIN32: 13)の証明書エラーの情報です。情報自体は古いですが、同様のエラーがADCSでも起こることがあるようですが、エラーの原因は色々とありそうで、切り分けが難しいです。 以下は抜粋。 現象重要: この資料には、レジス…

ADCS SHA1からSHA2移行後にルート証明書が新しいハッシュアルゴリズムで配布されるタイミング

ADCS SHA1からSHA2移行後にルート証明書が新しいハッシュアルゴリズムで配布されるタイミングについて動作検証をしてみました。 自宅に構築したADCSをSHA1からSHA2に移行しました。その後、ドメインに参加している端末にADCSのSHA2のルート証明書が発行され…

ADCS SHA2移行 証明書の書き換え 新しい公開キーと秘密キーの組を作成はどちらを選択?

Windows ServerでCA局を構築する場合は、ADCSになりますが、ADCSのSHA2移行時に証明書の書き換え 新しい公開キーと秘密キーの組を作成はどちらを選択すればいいのかという判断に迷うポイントに関する情報です。 というのも、こちらの情報を見ると、SHA2に移…

ADCSインストールでエンタープライズCAがグレーアウトされて選べない

久しぶりにCA局の作業をしていて改めて証明書って勉強しないと難しいですね。 そして、自宅でも検証用にADCSを構築しているのですが、ADCSインストールでエンタープライズCAがグレーアウトされて選べないという事象が発生した場合の原因についてです。 久し…

1台のADCSでSHA1とSHA2の暗号化アルゴリズムで署名した証明書を発行できない

1台のADCSでSHA1とSHA2の暗号化アルゴリズムで署名した証明書を発行できないそうです。その為、SHA1からSHA2に移行してしまうとSHA1の証明書が発行できなくなります。 レガシーのOS、端末などで新たに発行するケースというのはゼロではないかもしれませんの…

エクスポートしたPFX証明書の状態を確認するpowershellコマンド

ADCSで社内のローカル認証局を構築しているケースが多いと思いますが、その中で、証明書をPFXファイルとしてエクスポートすることがあると思いますが、エクスポートした証明書を確認するコマンドがあるようなので、備忘録として記載します。 参考情報はSHA2…

CertUtil: キー セットがありません。0x80090016エラー certutil -repairstoreで秘密キーの紐づけを修復

最近はセキュリティが厳しくなってきて社内でも暗号化通信が必要という感じになってきましたね。ただ、通信を暗号化するとパケットキャプチャなどの切り分けが難しくなるので、インフラエンジニアにとってはさらにトラブルシューティングが難しくなるかもし…

ADCS certutil -csp -delkeyコマンドでエラー 「0x80090016 キー セットがありません。」

最近、証明機関を調べることが増えてきましたがこれもセキュリティが以前よりも重視されているということなんでしょうね。インフラエンジニアはセキュリティの知識もつけなければいけない時代になっています。 そして、今回はADCSで秘密キーをコマンドで削除…

IIS サーバ証明書は個人ストアよりWeb ホスティングストアが推奨

IISでWEBサーバを構築してHTTPSで接続させたい場合は、ADCSなどで発行したサーバー証明書を格納することになりますが、環境によって個人ストアに格納されていることがあります。 ADCS構築後、そのままルート証明書をIISのサーバ証明書として利用することも可…

移動ユーザープロファイル環境ではユーザー証明書はプロファイルに格納される

VDIなどの環境を利用している場合は、移動ユーザープロファイルを利用しているケースが多いと思います。移動ユーザープロファイルの便利なところは、ネットワークのトラフィックは発生しますが、どの端末に入っても同じ環境で操作、業務ができることです。 V…

ADCS サブジェクトの別名付き証明書(SAN)有効化するレジストリ設定の利用時の注意

ADCS サブジェクトの別名付き証明書(SAN)有効化するレジストリ設定の利用時の注意があることを知ったので備忘録です。 まず、以下のブログでADCSでSANの証明書を発行できる状態について書かれており、実際にその通りの作業をしたところ、別名で証明書が発…

ADCS SHA2のサーバー証明書 別名をすべて登録しないと証明書エラー

ADCSでSHA2のサーバー証明書を発行して初めて別名のSAN形式の証明書を作成して利用してみました。 メールサーバで利用したのですが、コモンネームに設定したFQDNは間違っていないのになぜかエラーがでるという事象が発生しました。 初めて使ったので理解でき…

証明書ストアに証明書をインポートしてIISからバインドの設定で表示されない原因

証明書ストアに証明書をインポートしてIISからバインドの設定で表示されない原因についての説明になります。 IISを使ったシステムでADCSで発行した証明書を準備してインポートしたのですが、証明書ストアに問題なくインポートされた後に、IIS側の設定でバイ…

ADCSのSHA2移行後にサーバ証明書、クライアント証明書がSHA2で発行されているかの確認方法

ADCSのSHA2移行後にサーバ証明書、クライアント証明書がSHA2で発行されているかの確認方法について説明したいと思います。 ADCSのSHA2移行方法は、以下の公式情報が参考になります。 ■暗号化サービスプロバイダー(CSP)からキーストレージプロバイダー(KSP…

ルート証明機関と下位の証明機関の違い マイクロソフト証明機関の構築

Windowsサーバで証明機関を構築する場合、証明機関の種類を検討する必要があります。 ちなみに、証明機関は様々な名称があります。「証明機関」から始まり、「CA局」、「認証局」・・・などなど。マイクロソフトの公式サイトを見ても、ルート証明機関と書か…

ADCS EAP TLS認証用のサーバ、コンピュータ証明書を作成する

ADCS EAP TLS認証用のサーバ、コンピュータ証明書を作成する場合に参考になる情報です。 情報元はこちら。 PEAP と EAP の要件に合わせて証明書テンプレートを構成する | Microsoft Docs PEAP - MS - CHAP v2、PEAP TLS、または EAP TLS を認証方法として使…

WindowsServer2012 エンタープライズCAの証明書テンプレートの有効期限2年を延長する

Windows Server 2012 R2にて、証明書を発行したい場合は、認証局を構築することになります。認証局を構築する場合、スタンドアロンCAとエンタープライズCAが選べますが、使いやすさを考えるとエンタープライズCAを選択することになります。そして、エンター…

Windows Server 2012R2 ADCS上での「certutil」コマンドの一覧

証明機関の管理は基本的にはGUI操作で十分ですが、運用の仕方によってはコマンドライン(バッチ)での運用も考えられると思います。その場合、「Certutil.exe」を利用してコマンドラインで証明書サービスの一連の操作をすることが可能です。 このツールを使…

ADCS(証明機関)の証明書の有効期限を増やしたい場合はエンタープライズCA

WEBアクセスをセキュアにする方法でよく利用されるのが証明書。この証明書の利用でトラブルになりやすいのが、証明書の有効期限です。例えば、私の場合は、マイクロソフトの証明機関を構築したことがあるのですが、よく言われるのが、セキュリティを高める為…