ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADCS導入後に自動配布されるドメインコントローラー証明書は秘密キーのエクスポート不可

ADCS導入後に自動配布されるドメインコントローラー証明書は秘密キーのエクスポートできるか実機で確認しましたが、テンプレートがバージョン1の古い証明書テンプレートで、エクスポートできない設定になっていました。

 

ADCS導入後、最初に発行されるのがドメインコントローラーのLDAPS通信で使用できるドメインコントローラー証明書になります。

 

今後、予定されているLDAP署名では証明書が必要になります。この証明書はSAN属性の証明書を発行する必要があり、知識がないと正常にLDAPSの通信が確率されないことがあるので、あまり証明書の知識がない方は、ADCSを導入することで簡単にドメインコントローラーに証明書を配布することができます。

 

なお、この証明書は有効期限前に自動で再配布されるので、セキュリティ的にも安心です。

 

エクスポート可能になっていないのは、セキュリティを考慮してのものではないかと思います。

 

また、LDAPS通信で使用する証明書はADCSの証明書である必要性はなく、サードパーティー製の証明書でも代用が可能です。

 

今後に備えて動作確認はしておいたほうがよいかと思います。ただし、ADと通信を行うシステムがLDAPS通信に対応していない場合はGPOで無効にして対応することも可能です。

 

パッチ適用後に慌てないようにいまのうちにシステム管理者は準備をしておくことをおすすめします。

 

[ザノースフェイス] リュック シャトルデイパック メンズ ブラック