ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ADCS以外のサードパーティCAが発行するドメインコントローラー証明書の要件

ADCS以外のサードパーティCAが発行するドメインコントローラー証明書の要件についての情報になります。LDAPSの暗号化通信を使用するためにはドメインコントローラ用に証明書を用意する必要がありますが、その為の情報になります。

 

Windows Server 2019を使用すればCA局を構築することが可能ですが、社内にないとか、構築、運用が大変そうという観点で導入していない場合は、ADCS以外のサードパーティCAが発行するドメインコントローラー証明書を準備する必要があります。

 

参考上元はこちら。

 

サードパーティ CA からのドメインコントローラー証明書の要件

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/windows-security/requirements-domain-controller

 

サードパーティの証明機関 (CA) からドメインコントローラー証明書を発行するために満たす必要がある要件についての説明になります。

 

まず、サポート内容の抜粋です。


●現時点では、Microsoft は、スマートカードサインインのみでサードパーティ製のドメインコントローラー証明書の使用をサポートしています。
●現時点では、Microsoft は、ドメインコントローラー間の SMTP (Simple Mail Transfer Protocol) レプリケーションをサポートするために、サードパーティ Ca からの証明書の使用をサポートしていません。
サードパーティの Ca は、ドメインコントローラーまたはコンピューター証明書の自動登録および自動更新をサポートしていません。

 

 

ドメインコントローラー間の SMTP (Simple Mail Transfer Protocol) レプリケーションという機能は初めて知りました。

 

ドメインコントローラーに対して手動で証明書を発行することができます。 ドメインコントローラーの証明書は、次の特定の形式要件を満たしている必要があります。

●証明書には、有効な証明書失効リスト (CRL) をポイントする CRL 配布ポイント拡張子が含まれている必要があります。

●必要に応じて、証明書の Subject セクションには、サーバーオブジェクトのディレクトリパス (識別名) を含める必要があります。次に例を示します。
CN = northwindtraders OU = ドメインコントローラー DC = northwwindtraders DC = com

●[証明書キー使用法] セクションには次のものを含める必要があります。
デジタル署名、キーの暗号化

●必要に応じて、[証明書の基本制限] セクションには次のものが含まれます。
[Subject Type = End Entity, Path Length Constraint = なし]

●[証明書の拡張キー使用法] セクションには次のものを含める必要があります。
 クライアント認証 (1.3.6.1.5.5.7.3.2)
 サーバー認証 (1.3.6.1.5.5.7.3.1)

●[証明書のサブジェクトの別名] セクションには、ドメインネームシステム (DNS) 名を含める必要があります。 SMTP レプリケーションを使用する場合、証明書のサブジェクトの別名セクションには、ディレクトリ内のドメインコントローラオブジェクトのグローバル一意識別子 (GUID) も含める必要があります。 次に例を示します。
その他の名前: 1.3.6.1.4.1.311.25.1 = ac 4b 29 06 aa d6 5d 4f a9 9c 4c bc b0 6a 65 d9 DNS 名 = server1. northwindtraders

●証明書テンプレートには、基本の metabolic panel (BMP) データ値 DomainController を持つ拡張機能が必要です。

注意
dsstore.exe dcmon コマンドは、このような拡張子のない証明書を認識しません。
Schannel 暗号化サービスプロバイダー (CSP) を使用してキーを生成する必要があります。

ドメインコントローラー証明書をローカルコンピューターの証明書ストアにインストールする必要があります。

 

最後に、、、Ldp.exeを利用してLDAPS通信を確認できます。