クライアント証明書を必須にすると接続できない

社内のSSL環境を構築しておりますが、私の知識不足のためになかなかうまくいきません。
申し訳ありませんが、ご教授願えますでしょうか？

---テスト環境---
サーバＡ：www.XXXX.co.jp（Winodws Server 2008 R2 役割：IIS7.5、AD証明書サービス(スタンダート　ルートCA))
サーバＢ：yyy.XXXX.co.jp（Winodws Server 2008 R2 役割：IIS7.5)
クライアント１：IE7(WindowsXP)、IE9(Vista)：クライアント証明書あり
クライアント２：IE8(WindowsXP)：クライアント証明書なし

---証明書---
サーバＡ（ルートCA認証局）
|--サーバＡ：サーバＡルートCAでサーバ証明書発行（IIS用：サイトのバインドに設定しSSLを設定（SSL設定：SSLが必須、クライアント証明書：必須））
|--サーバＢ：サーバＡルートCAでサーバ証明書発行（IIS用：サイトのバインドに設定しSSLを設定（SSL設定：SSLが必須、クライアント証明書：必須））
|--クライアント１：サーバＡルートCAでクライアント証明書発行

---アクセス---
　クライアント１→サーバＡのサイト：表示／ＯＫ（正常にサイトを確認できる）
　クライアント２→サーバＡのサイト：表示／ＮＧ（サイトを確認できない）クライアント証明書がないので正しい

※クライアント１→サーバＢのサイト：表示／ＮＧ（403 13のエラーとなり接続できない）クライアント証明書はルートＣＡの証明があるのに接続できない
　クライアント２→サーバＢのサイト：表示／ＮＧ（サイトを確認できない）クライアント証明書がないので正しい

なぜサーバＢのサイトへアクセスできないのでしょうか？ルートＣＡの証明書は有効となっているのですが？です。
ちなみにクライアント証明書のCRLは「http://www.XXXX.co.jp/」のcrlの場所となっています。

サーバＢにAD証明書サービスをインストールし既存CAにてルートCAと利用すればよいのはわかるのですが、
インストールなしでできないものでしょうか？サーバを追加するたびにクライアント証明書を要求・発行しなくてもルートで承認している
クライアントから接続できないのでしょうか？

証明書の発行、考えに問題があるのか分からないのですが、なにか回答があれば助かります。

No.3 ベストアンサー 回答者： kadusaya2 回答日時： 2011/11/04 22:32

少し話しがズレますが、DigiNotarの事件はご存知でしょうか。

http://technet.microsoft.com/ja-jp/security/advi …
認証局がネットワーク上にあったため、侵入され好き勝手な証明書が発行された事件です。

以下、すこしキツイ言い方になりますがご容赦を。

原則として、認証局はオフラインであり、ネットワークとは切り放すものです。
IISと同じサーバにAD証明書サービスをインストールするなんて論外です。
Microsoftのマニュアルにも、その旨がキチンと記載されているハズです。

設定内容の詳細が不明なので何が原因かは判断しかねますが、本来ならサーバBの設定でSSL通信ができなければいけません。
例えばレンタルサーバなどで、ベリサインなどから証明書を発行してもらい、IISでサーバを運用する場合、そのレンタルサーバはサーバBの状態で運用されています。そうでなければレンタルサーバとして成り立ちません。

設定（設計？）を根本から見直さないとムリだと思います。

あと、余談ですが、サーバはルート証明書を信頼する必要はありません。
（信頼しても、しなくても、関係ありません）
ルート証明書を信頼しなければSSL通信ができないのはクライアント側だけです。
↑がもし理解できていないとすれば、やはり勉強不足です。

この回答への補足

記述場所がないのでここへ記述させていただきます。
とりあえず、証明書サービスのマニュアル関連を再度確認し、無事セットアップできました。

原因はサブジェクトの設定が間違っていたみたいです。（フルドメインでしていしていたので別のサーバが拒否されてました）

ルートCAのみの認証局階層ですが、ルートＣＡは内部のサーバへセットアップすることで、クライアント（インターネット、イントラネット共）に見えない環境としました。
（クライアント証明書の発行はとりあえず、認証局のサーバ内で手入力して発行します。）

ありがとうございました。

補足日時：2011/11/10 18:52

この回答へのお礼

回答ありがとうございます。

前提として社内利用のためのサーバなので、費用をかけられない！が一番にあります。
なのでＩＩＳと同じサーバに入れて実装できないものかと思い実行しておりました。
（クライアント証明書の発行は手動で行う予定（現在も手動））
クライアント証明の認証用にLinuxで別サーバを起動させることも検討します。
（WindowsServerでは費用がかかりすぎるので・・・もしくは専用に仮想化するか・・・メモリが！）

まだまだ知識不足なのでgoogle検索を参考にしていると
クライアント証明書の発行にはWeb登録でクライアントから要求をもらう方法しか分からなかったのでIISで要求をうけておりました。
別にする方法は分かりませんが、勉強します。

ちなみにこのテスト環境はローカル内（192.168.X.X）で実験中です。

お礼日時：2011/11/06 09:55

No.4 回答者： kadusaya2 回答日時： 2011/11/07 00:49

No.3 です。

以下、補足です。

Windows Server 2008 がスタンダード以上であれば仮想化ライセンスがあるかと思います。
Hyper-V上で「ネットワークカードなし」にして証明書をFDで受け渡しすれば、ほぼオフラインと同等の体制にできるかと思います。もちろん、証明書発行時以外には仮想環境であってもCAは稼動させません。

なお、仮想環境でのCAは Linux＋OpenSSL でもOKです。

他には、k9pca でCAを構築する方法もあります。
http://www.vector.co.jp/soft/winnt/util/se479199 …
USBメモリ上にCAを構築するので、CA専用のマシンや環境を用意する必要はありません。
（USBメモリの取り外しでオフラインと同等の状態になります）

以上、ご参考までに。

この回答へのお礼

ありがとうございます。
スタンダード版なので１環境はライセンス不要で仮想環境の作成はできます。
上記での対応も検討いたします。
まずは根本的になぜクライアント証明書が有効にならないのか？なので
その部分を解決させます。

お礼日時：2011/11/07 09:30

No.2 回答者： maesen 回答日時： 2011/11/04 15:37

＞サーバＡ：www.XXXX.co.jp（Winodws Server 2008 R2 役割：IIS7.5、AD証明書サービス(スタンダート　ルートCA))

スタンドアロン ルートCAですよね。

スタンドアロン ルートCAなので、サーバＢにこのCAのルート証明書をインストールする必要がありますが忘れっているということはありませんか。

こんな単純な話ではないとは思いますが念のため。

この回答への補足

スタンドアロン ルートCAです。
やはり名前の通り、ＣＡのサーバ内だけで有効なのでしょうか・・・
各サーバに証明書サービスを入れたくなかったのですが。

ちなみに
＞スタンドアロン ルートCAなので、サーバＢにこのCAのルート証明書をインストールする必要がありますが忘れっているということはありませんか。
ですが、サーバＡのＣＡを信頼するルート証明書として入れてあります。
（クライアント証明書を必須にせずサーバＢへ接続すると証明書は青（緑）になります。なので、サーバ証明書としては親（サーバＡ）の証明書を認証してます。）

補足日時：2011/11/04 17:57

この回答へのお礼

補足ではなくお礼でした。
すみません。

お礼日時：2011/11/04 18:33

No.1 回答者： lupin-333333 回答日時： 2011/11/04 14:49

すみません、内容を１００％理解して回答していませんが、とりあえず、

http://search.yahoo.co.jp/search?b=1&n=10&ei=UTF …

この辺の

http://technet.microsoft.com/ja-jp/library/ee431 …

http://technet.microsoft.com/ja-jp/library/ee431 …

この辺を、理解していますでしょうか？　つまり、マッピングをどのようにしているかです。これはWebサーバーや、Webあぷりによって、いろいろ方法が変えられるので、まず、どのようなマッピングを設定しているのか、再度確認してください。
（ADによるマッピングと、IISによるものと、ちょこっと違う。またそぞれに選択肢が・・・）

コンピューターと言っても全てがAIで自動認識と言うわけには行きません。「どこかで、この人は、この証明書を保持し、それを使って、認証に来た場合にだけ、OKを出す。」と言うシナリオをどこかで保持しています。

それが、まず何を、どのように、設定されているのか、どうか、最初に確認するべきことがらだと思いますが。

この回答へのお礼

サーバでユーザ管理を行っていないので、多対１でいいとはおもっていたのですが、エンタープライズで構成しないのとだめなのでしょうか。
一度テストしてみます。
スタンドアロン ルートCAなのでやはりインストールされているサーバ自身の
クライアント承認になるのでしょうか、
もう少し勉強とテストをつづけます。
ありがとうございます。

お礼日時：2011/11/04 18:35