- ベストアンサー
クライアント証明書を必須にすると接続できない
- クライアント証明書を必須にすると、一部のクライアントからサーバBへの接続ができない問題が発生しています。
- サーバBにはルートCAの証明書がありますが、クライアント2からの接続ができない現象が発生しています。
- サーバBにAD証明書サービスをインストールし、既存CAでルートCAを利用することで解決できる可能性があります。
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
少し話しがズレますが、DigiNotarの事件はご存知でしょうか。 http://technet.microsoft.com/ja-jp/security/advisory/2607712 認証局がネットワーク上にあったため、侵入され好き勝手な証明書が発行された事件です。 以下、すこしキツイ言い方になりますがご容赦を。 原則として、認証局はオフラインであり、ネットワークとは切り放すものです。 IISと同じサーバにAD証明書サービスをインストールするなんて論外です。 Microsoftのマニュアルにも、その旨がキチンと記載されているハズです。 設定内容の詳細が不明なので何が原因かは判断しかねますが、本来ならサーバBの設定でSSL通信ができなければいけません。 例えばレンタルサーバなどで、ベリサインなどから証明書を発行してもらい、IISでサーバを運用する場合、そのレンタルサーバはサーバBの状態で運用されています。そうでなければレンタルサーバとして成り立ちません。 設定(設計?)を根本から見直さないとムリだと思います。 あと、余談ですが、サーバはルート証明書を信頼する必要はありません。 (信頼しても、しなくても、関係ありません) ルート証明書を信頼しなければSSL通信ができないのはクライアント側だけです。 ↑がもし理解できていないとすれば、やはり勉強不足です。
その他の回答 (3)
- kadusaya2
- ベストアンサー率48% (114/235)
No.3 です。以下、補足です。 Windows Server 2008 がスタンダード以上であれば仮想化ライセンスがあるかと思います。 Hyper-V上で「ネットワークカードなし」にして証明書をFDで受け渡しすれば、ほぼオフラインと同等の体制にできるかと思います。もちろん、証明書発行時以外には仮想環境であってもCAは稼動させません。 なお、仮想環境でのCAは Linux+OpenSSL でもOKです。 他には、k9pca でCAを構築する方法もあります。 http://www.vector.co.jp/soft/winnt/util/se479199.html USBメモリ上にCAを構築するので、CA専用のマシンや環境を用意する必要はありません。 (USBメモリの取り外しでオフラインと同等の状態になります) 以上、ご参考までに。
お礼
ありがとうございます。 スタンダード版なので1環境はライセンス不要で仮想環境の作成はできます。 上記での対応も検討いたします。 まずは根本的になぜクライアント証明書が有効にならないのか?なので その部分を解決させます。
- maesen
- ベストアンサー率81% (646/790)
>サーバA:www.XXXX.co.jp(Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA)) スタンドアロン ルートCAですよね。 スタンドアロン ルートCAなので、サーバBにこのCAのルート証明書をインストールする必要がありますが忘れっているということはありませんか。 こんな単純な話ではないとは思いますが念のため。
お礼
補足ではなくお礼でした。 すみません。
補足
スタンドアロン ルートCAです。 やはり名前の通り、CAのサーバ内だけで有効なのでしょうか・・・ 各サーバに証明書サービスを入れたくなかったのですが。 ちなみに >スタンドアロン ルートCAなので、サーバBにこのCAのルート証明書をインストールする必要がありますが忘れっているということはありませんか。 ですが、サーバAのCAを信頼するルート証明書として入れてあります。 (クライアント証明書を必須にせずサーバBへ接続すると証明書は青(緑)になります。なので、サーバ証明書としては親(サーバA)の証明書を認証してます。)
- lupin-333333
- ベストアンサー率31% (294/933)
すみません、内容を100%理解して回答していませんが、とりあえず、 http://search.yahoo.co.jp/search?b=1&n=10&ei=UTF-8&fr=ie8sc&p=IIS+SSL+%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%80%80%E3%83%9E%E3%83%83%E3%83%94%E3%83%B3%E3%82%B0 この辺の http://technet.microsoft.com/ja-jp/library/ee431606.aspx http://technet.microsoft.com/ja-jp/library/ee431573.aspx この辺を、理解していますでしょうか? つまり、マッピングをどのようにしているかです。これはWebサーバーや、Webあぷりによって、いろいろ方法が変えられるので、まず、どのようなマッピングを設定しているのか、再度確認してください。 (ADによるマッピングと、IISによるものと、ちょこっと違う。またそぞれに選択肢が・・・) コンピューターと言っても全てがAIで自動認識と言うわけには行きません。「どこかで、この人は、この証明書を保持し、それを使って、認証に来た場合にだけ、OKを出す。」と言うシナリオをどこかで保持しています。 それが、まず何を、どのように、設定されているのか、どうか、最初に確認するべきことがらだと思いますが。
お礼
サーバでユーザ管理を行っていないので、多対1でいいとはおもっていたのですが、エンタープライズで構成しないのとだめなのでしょうか。 一度テストしてみます。 スタンドアロン ルートCAなのでやはりインストールされているサーバ自身の クライアント承認になるのでしょうか、 もう少し勉強とテストをつづけます。 ありがとうございます。
お礼
回答ありがとうございます。 前提として社内利用のためのサーバなので、費用をかけられない!が一番にあります。 なのでIISと同じサーバに入れて実装できないものかと思い実行しておりました。 (クライアント証明書の発行は手動で行う予定(現在も手動)) クライアント証明の認証用にLinuxで別サーバを起動させることも検討します。 (WindowsServerでは費用がかかりすぎるので・・・もしくは専用に仮想化するか・・・メモリが!) まだまだ知識不足なのでgoogle検索を参考にしていると クライアント証明書の発行にはWeb登録でクライアントから要求をもらう方法しか分からなかったのでIISで要求をうけておりました。 別にする方法は分かりませんが、勉強します。 ちなみにこのテスト環境はローカル内(192.168.X.X)で実験中です。
補足
記述場所がないのでここへ記述させていただきます。 とりあえず、証明書サービスのマニュアル関連を再度確認し、無事セットアップできました。 原因はサブジェクトの設定が間違っていたみたいです。(フルドメインでしていしていたので別のサーバが拒否されてました) ルートCAのみの認証局階層ですが、ルートCAは内部のサーバへセットアップすることで、クライアント(インターネット、イントラネット共)に見えない環境としました。 (クライアント証明書の発行はとりあえず、認証局のサーバ内で手入力して発行します。) ありがとうございました。