Macを会社で使っているところがあるかもしれませんが、Windows Serverで構築したADCSの証明書を信頼しないという情報がありました。
こちら
Macintosh does not trust certificate from ADCS
以下は質問の抜粋です。
===
2012 R2に基づく新しいADCSをセットアップし、オフラインルート証明書を使用するTier-2ソリューションを使用して、エンタープライズCAの動作に発行CAとOCSPがあります。現在のソリューションは、Windowsクライアントを使用して完全に機能します。非推奨以降、ハッシュにSHA-2を使用しましたが、今では問題が発生し始めています。また、Macintoshなどの非ドメインステーションでのみ使用できます。
Macintoshのキーチェーンでは証明書が信頼できないというメッセージが表示されるため、RADIUS認証を使用してアクセスポイントに接続する必要があるクライアントの場合、拒否されます。そのための。そのため、Appleフォーラムを掘り下げた後、ハッシュアルゴリズムRSA-PSSを使用したレポートがいくつかあり、同じ問題が発生します。SHA-1に戻すと。できます。
キーチェーンを検証できなかったMacを除いて、IOS、Android、Windowsを除く他のすべてのクライアントが機能します。これは非常に奇妙に聞こえますが、誰かがこの動作を見たり、解決策を見つけたりしたことがあるでしょうか。Applesフォーラムで、証明書の信頼を強制するのに役立つものが見つかりません。
===
続いて、回答です。
===
Macと共存するために、代替署名アルゴリズムを有効にすることはできません(XP / 2003にも当てはまります)/
ルートCAで、次を実行する必要があります。
certutil --setreg csp \ alternatesignaturealgorithm 0
c ertutil --setreg csp \ cnghashalgorithm sha256
net stop certsvc && net start certsvc
次に、ルートCA証明書を更新します
次に、エンタープライズCAで実行します
certutil --setreg csp \ alternatesignaturealgorithm 0
certutil --setreg csp \ cnghashalgorithm sha256
net stop certsvc && net start certsvc
次に、発行元のCAをルートCAで更新します
MacとWindowsで受け入れられるRSASha256署名になります
===
以下の情報もありますね。
===
その理由は、AlternateSignatureAlgorithmが、すべてのアプリケーションまたはオペレーティングシステムと互換性のない新しいPKCS#1v1.5署名形式を有効にするためです。この場合、Macintosh OSはそれをサポートしていないため、MacintoshがPKIに参加する場合は、PKIでこれを有効にすることはできません。
===
コマンドで解決ができるか、検証が必要ですが、参考になるかもしれません。
 |
