ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

エンタープライズCA LDAP証明書にサブジェクトの別名(SAN)を追加する方法

エンタープライズCA LDAP証明書にサブジェクトの別名(SAN)を追加する方法についての情報になります。今年、Active Directoryにて、Active Directory ドメイン環境内の LDAP 通信の安全性を向上するために、LDAP 署名、および LDAP チャネルバインディング (LDAPS 利用時)を有効化を強制するパッチが適用される方針となっていますが、その際に、証明書を使用したLDAPS通信をさせるために、ADに証明書をインポートする必要があり、その為に必要なLDAP証明書に関する情報を記載します。

 

参考情報はこちら

セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法 

 

 

証明書要求から SAN 属性を受け付けるように CA を構成する方法が紹介されています。

 

Windows Server 2003 ベースのコンピュータで構成されている CA は、デフォルトでは、SAN 拡張子を含む証明書を発行しませんとありますが、これはWindows Server 2016でも同様なので、引き続きレジストリの変更が必要になります。

 

また、この設定を行わないと、証明書要求に SAN エントリが含まれていても、これらのエントリは発行される証明書から除外されます。

 

その為、この動作を変更するには、証明機関 (CA) サービスを実行するサーバー上のコマンド プロンプトで、次のコマンドを実行します。

 

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

net stop certsvc

net start certsvc

 

 

続いて、Web 登録ページを使用して証明書要求をエンタープライズ CA に送信する方法の抜粋です。SAN を含む証明書要求をエンタープライズ CA に送信するには、次の手順を実行します。

 

Internet Explorer を起動します。

Internet Explorer で、http://servername/certsrv に接続します。

 ③[証明書を要求する] をクリックします。

④[証明書の要求の詳細設定] をクリックします。

⑤[この CA への要求を作成し送信する] をクリックします。

⑥[証明書テンプレート] ボックスの一覧の [Web サーバー] をクリックします。

 ⑦[名前] ボックスに、ドメイン コントローラの完全修飾ドメイン名を入力します。
⑧[キーのオプション] の下で、次のオプションを設定します。

・新しいキー セットを作成する
・CSP: Microsoft RSA SChannel Cryptographic Provider
・キー使用法 : 交換

・キーのサイズ : 1024 ~ 16384
・自動キー コンテナ名

・ローカル コンピュータの証明書ストアに証明書を格納する

⑩[追加オプション] の下の [要求の形式] で [CMC] をクリックします。

⑪[属性] ボックスに、必要な SAN 属性を次の形式で入力します。

san:dns=dns.name[&dns=dns.name]

例:san:dns=ad01.test.co.jp


複数の DNS 名を指定する場合は、アンパサンド (&) で区切ります。たとえば、ドメイン コントローラ名が corpdc1.fabrikam.com で、エイリアスldap.fabrikam.com の場合、これらの両方の名前が SAN 属性に含まれている必要があります。この場合、入力する属性文字列は、次のようになります。

san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com

 

⑫[送信] をクリックします。

⑬[証明書は発行されました] Web ページが表示されたら、[この証明書のインストール] をクリックします。

 

以前、作業で発行した際にはIISCSRを作成しました。IISがない場合は、Certreq.exe ユーティリティが使用可能です。

 

SUNOGE リュック ビジネスリュック バックパック リュックサック 大容量 防水 3way USB 充電ポート マチ拡張 盗難防止 15.6インチ PC リュック 多機能 撥水加工 耐衝撃 人気 通勤 出張 旅行 通学 メンズ おしゃれ