ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

LDAPS署名用ドメインコントローラー証明書 ADCSで自動発行

少し前から話題になっているのですが、マイクロソフトは、LDAP チャネル バインディングLDAP 署名 の強化の変更を有効にするセキュリティ更新プログラムを Windows Update でリリースする予定になっています。これに伴い、事前に検証、準備が必要になります。ある日、突然、これが適用されてLDAP通信ができなくなるということが発生します。

 

ちなみにLDAP署名に関連するGPOの設定はこちらを参考にしてください。

 

Windows Server で LDAP 署名を有効にする方法

https://support.microsoft.com/ja-jp/help/935834/how-to-enable-ldap-signing-in-windows-server

 

今回の話題はちょっと違うのですが、LDAPS署名用ドメインコントローラー証明書 ADCSで自動発行できるというものです。こちら、OpenSSLなどで発行したSSL証明書でもいいのですが、証明書の有効期限を短くする場合は、自動更新が大変なのでということです。

 

実はAD用に証明書を発行するということはまだやったことがないので、ネットのフォーラムの情報を参考に。

 

 

以下はフォーラムの質問内容です。

 

AD CSの役割を追加して認証局を構築しております。発行した証明書のなかに以下の証明書が発行されておりました。

証明書テンプレート : ドメイン コントローラ(DomainController)
発行された共通名  : 「ドメインコントローラのホスト名」

なお、今回の環境ではドメインコントローラを3台構築しておりますが、
上記証明書が3台分紐付く形で発行されているようです。

そこで確認なのですが、上記ドメインコントローラの証明書は自動で発行されるものでしょうか?証明書の有効期限が2017年となっており、1年間しか期限がありません。
本システムは5年以上稼働しますので、上記証明書の更新運用が必要でしょうか?

 

分かりやすい回答です。

 

おっしゃる証明書テンプレートはVersion 1(もっとも初期のもの)で、グループポリシーによる自動配布設定が行えますが、ドメインコントローラに限っては、自動的に配布の対象となります。LDAPS等ドメインコントローラの基本機能に必要なためと思われます。

https://technet.microsoft.com/en-us/library/cc725838(v=ws.11).aspx

ドメインコントローラ証明書(v1)の期限は1年ですが(これは変えられません)、自動的に配布されていますので、期限が来れば自動的に更新の対象となるはずです。更新日が切れる前に変更されるはずですので、ムリに手動で変更する必要はないでしょう。

 

「参考」 

https://social.technet.microsoft.com/Forums/azure/ja-JP/dc5c1407-eb5e-4a1f-b919-dab12a2a3bc5/12489125131245212531124671253112488125251254012521123983538826?forum=winserver8

 

自動的に配布されていますので、期限が来れば自動的に更新の対象となるはずとあり、これを利用することも可能ですね。