- ベストアンサー
社内でCA局を構築したが・・・
- 社内で構築したCA局(RHL8.0+OpenSSL)の証明書が他のユーザに反映されない問題について、解決方法を教えてください。
- WindowsXPを利用し、ActiveDirectoryで移動プロファイルを利用している社内で、ローカルのAdministratorで構築したCA局の証明書が他のユーザに反映されていません。
- 他のユーザでもCA局の証明書を利用するためのインポート方法について教えてください。
- Lio
- お礼率44% (46/103)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数9
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
えっと、順番が逆ですが5番から説明します。 5の実施手順 ・IEを起動 ・ツール⇒インターネットオプション⇒コンテンツ⇒証明書⇒信頼されたルート証明期間⇒インポート⇒DERエンコードした証明書ファイルを指定 ・証明書の目的を設定 って、手順で証明書DBに登録されて全ユーザで使用可能になった と記憶しています。 IEのバージョンが上がったためか、移動プロファイルを使用されて いることで動作が違うのかもしれません。 4の実施手順 ・ドメインサーバで5を実施 ・グループポリシーで証明書の配布を選択 ・配布する証明書として、5で取り込んだ証明書を指定 以上、ご参考まで ※おまけ※ 話は変わりますが、ルート証明書の期限は運用面も考慮の上での 設定をお勧めします。 ~昔はルート証明書の期限も結構短かったのに、久しぶりに見て みたら、全体に結構長くなってるわ、verisignの証明書がclass1-4で 2セットずつ入ってるわ、吃驚しました。 昔は社内で発行した証明書が一番ロングライフだったのに・・・(何故か悔しい)。
その他の回答 (1)
- goo-tara
- ベストアンサー率24% (10/41)
IEに元々入っていないroot証明書は個別に入れないとどーにもなりません。 できないなら、証明書を使うことをあきらめる事をお奨めします。 証明書を使うためには、以下の方法があります。 御社の会社の規模や、投資できる費用に応じて選択してください。 1.MSにお金を払って、IEに作成したCA局のroot証明書を入れて貰う。 2.IEにroot証明書が入っている認証局に証明書を発行して貰う。 3.IEAKでroot証明書を入れたイメージのインストーラを作成し、IEの再インストールを実施させる。 4.ドメインポリシーでドメインに参加している端末にroot証明書を流し込む。 5.セキュリティ管理者がroot証明書を1台1台インストールして回る。 避けたい方法.各ユーザにroot証明書をインストールさせる。(セキュリティを上げたいのか落としたいのか、目指す方向が不明確になるため。) 某電機メーカーの元セキュリティ基盤設計者
補足
ご回答ありがとう御座います。 4番、5番について、詳細を教えていただけると幸いです。 なお、ローカルマシンのAdministratorはもちろん、 ドメインのDomain Admins権限を持っていますので ポリシーの書き換えは可能です。 よろしくお願いします。
お礼
ドメインコントローラセキュリティポリシー設定で 証明書を配布することができました。 有難うございました。