社内のSSL環境を構築しておりますが、私の知識不足のためになかなかうまくいきません。
申し訳ありませんが、ご教授願えますでしょうか?
---テスト環境---
サーバA:www.XXXX.co.jp(Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA))
サーバB:yyy.XXXX.co.jp(Winodws Server 2008 R2 役割:IIS7.5)
クライアント1:IE7(WindowsXP)、IE9(Vista):クライアント証明書あり
クライアント2:IE8(WindowsXP):クライアント証明書なし
---証明書---
サーバA(ルートCA認証局)
|--サーバA:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須))
|--サーバB:サーバAルートCAでサーバ証明書発行(IIS用:サイトのバインドに設定しSSLを設定(SSL設定:SSLが必須、クライアント証明書:必須))
|--クライアント1:サーバAルートCAでクライアント証明書発行
---アクセス---
クライアント1→サーバAのサイト:表示/OK(正常にサイトを確認できる)
クライアント2→サーバAのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい
※クライアント1→サーバBのサイト:表示/NG(403 13のエラーとなり接続できない)クライアント証明書はルートCAの証明があるのに接続できない
クライアント2→サーバBのサイト:表示/NG(サイトを確認できない)クライアント証明書がないので正しい
なぜサーバBのサイトへアクセスできないのでしょうか?ルートCAの証明書は有効となっているのですが?です。
ちなみにクライアント証明書のCRLは「http://www.XXXX.co.jp/」のcrlの場所となっています。
サーバBにAD証明書サービスをインストールし既存CAにてルートCAと利用すればよいのはわかるのですが、
インストールなしでできないものでしょうか?サーバを追加するたびにクライアント証明書を要求・発行しなくてもルートで承認している
クライアントから接続できないのでしょうか?
証明書の発行、考えに問題があるのか分からないのですが、なにか回答があれば助かります。
No.3ベストアンサー
- 回答日時:
少し話しがズレますが、DigiNotarの事件はご存知でしょうか。
http://technet.microsoft.com/ja-jp/security/advi …
認証局がネットワーク上にあったため、侵入され好き勝手な証明書が発行された事件です。
以下、すこしキツイ言い方になりますがご容赦を。
原則として、認証局はオフラインであり、ネットワークとは切り放すものです。
IISと同じサーバにAD証明書サービスをインストールするなんて論外です。
Microsoftのマニュアルにも、その旨がキチンと記載されているハズです。
設定内容の詳細が不明なので何が原因かは判断しかねますが、本来ならサーバBの設定でSSL通信ができなければいけません。
例えばレンタルサーバなどで、ベリサインなどから証明書を発行してもらい、IISでサーバを運用する場合、そのレンタルサーバはサーバBの状態で運用されています。そうでなければレンタルサーバとして成り立ちません。
設定(設計?)を根本から見直さないとムリだと思います。
あと、余談ですが、サーバはルート証明書を信頼する必要はありません。
(信頼しても、しなくても、関係ありません)
ルート証明書を信頼しなければSSL通信ができないのはクライアント側だけです。
↑がもし理解できていないとすれば、やはり勉強不足です。
この回答への補足
記述場所がないのでここへ記述させていただきます。
とりあえず、証明書サービスのマニュアル関連を再度確認し、無事セットアップできました。
原因はサブジェクトの設定が間違っていたみたいです。(フルドメインでしていしていたので別のサーバが拒否されてました)
ルートCAのみの認証局階層ですが、ルートCAは内部のサーバへセットアップすることで、クライアント(インターネット、イントラネット共)に見えない環境としました。
(クライアント証明書の発行はとりあえず、認証局のサーバ内で手入力して発行します。)
ありがとうございました。
回答ありがとうございます。
前提として社内利用のためのサーバなので、費用をかけられない!が一番にあります。
なのでIISと同じサーバに入れて実装できないものかと思い実行しておりました。
(クライアント証明書の発行は手動で行う予定(現在も手動))
クライアント証明の認証用にLinuxで別サーバを起動させることも検討します。
(WindowsServerでは費用がかかりすぎるので・・・もしくは専用に仮想化するか・・・メモリが!)
まだまだ知識不足なのでgoogle検索を参考にしていると
クライアント証明書の発行にはWeb登録でクライアントから要求をもらう方法しか分からなかったのでIISで要求をうけておりました。
別にする方法は分かりませんが、勉強します。
ちなみにこのテスト環境はローカル内(192.168.X.X)で実験中です。
No.4
- 回答日時:
No.3 です。
以下、補足です。Windows Server 2008 がスタンダード以上であれば仮想化ライセンスがあるかと思います。
Hyper-V上で「ネットワークカードなし」にして証明書をFDで受け渡しすれば、ほぼオフラインと同等の体制にできるかと思います。もちろん、証明書発行時以外には仮想環境であってもCAは稼動させません。
なお、仮想環境でのCAは Linux+OpenSSL でもOKです。
他には、k9pca でCAを構築する方法もあります。
http://www.vector.co.jp/soft/winnt/util/se479199 …
USBメモリ上にCAを構築するので、CA専用のマシンや環境を用意する必要はありません。
(USBメモリの取り外しでオフラインと同等の状態になります)
以上、ご参考までに。
ありがとうございます。
スタンダード版なので1環境はライセンス不要で仮想環境の作成はできます。
上記での対応も検討いたします。
まずは根本的になぜクライアント証明書が有効にならないのか?なので
その部分を解決させます。
No.2
- 回答日時:
>サーバA:www.XXXX.co.jp(Winodws Server 2008 R2 役割:IIS7.5、AD証明書サービス(スタンダート ルートCA))
スタンドアロン ルートCAですよね。
スタンドアロン ルートCAなので、サーバBにこのCAのルート証明書をインストールする必要がありますが忘れっているということはありませんか。
こんな単純な話ではないとは思いますが念のため。
この回答への補足
スタンドアロン ルートCAです。
やはり名前の通り、CAのサーバ内だけで有効なのでしょうか・・・
各サーバに証明書サービスを入れたくなかったのですが。
ちなみに
>スタンドアロン ルートCAなので、サーバBにこのCAのルート証明書をインストールする必要がありますが忘れっているということはありませんか。
ですが、サーバAのCAを信頼するルート証明書として入れてあります。
(クライアント証明書を必須にせずサーバBへ接続すると証明書は青(緑)になります。なので、サーバ証明書としては親(サーバA)の証明書を認証してます。)
No.1
- 回答日時:
すみません、内容を100%理解して回答していませんが、とりあえず、
http://search.yahoo.co.jp/search?b=1&n=10&ei=UTF …
この辺の
http://technet.microsoft.com/ja-jp/library/ee431 …
http://technet.microsoft.com/ja-jp/library/ee431 …
この辺を、理解していますでしょうか? つまり、マッピングをどのようにしているかです。これはWebサーバーや、Webあぷりによって、いろいろ方法が変えられるので、まず、どのようなマッピングを設定しているのか、再度確認してください。
(ADによるマッピングと、IISによるものと、ちょこっと違う。またそぞれに選択肢が・・・)
コンピューターと言っても全てがAIで自動認識と言うわけには行きません。「どこかで、この人は、この証明書を保持し、それを使って、認証に来た場合にだけ、OKを出す。」と言うシナリオをどこかで保持しています。
それが、まず何を、どのように、設定されているのか、どうか、最初に確認するべきことがらだと思いますが。
サーバでユーザ管理を行っていないので、多対1でいいとはおもっていたのですが、エンタープライズで構成しないのとだめなのでしょうか。
一度テストしてみます。
スタンドアロン ルートCAなのでやはりインストールされているサーバ自身の
クライアント承認になるのでしょうか、
もう少し勉強とテストをつづけます。
ありがとうございます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ノートパソコン ESETの初期インストールの仕方 1 2022/10/14 08:26
- サーバー FTPサーバについて詳しい方(アクセス権のないディレクトリを非表示にする方法) 4 2022/08/22 22:33
- サーバー 別サーバに構築したApache+Tomcatの連携について 2 2023/03/06 23:23
- その他(お金・保険・資産運用) 事業復活支援金の新型コロナの影響かどうかをどうやって証明すればよいでしょうか? 1 2022/04/13 23:05
- ネットワーク 社内ネットワークの1台だけ接続できないときがある 4 2023/01/25 11:58
- PHP PHP でメールフォームを作成したい 1 2022/05/04 22:28
- WordPress(ワードプレス) ワードプレスにて初期ドメインから新しいドメインに変更する際、SSL証明書の発行は必要でしょうか? 旧 1 2022/06/07 22:07
- その他(IT・Webサービス) 調査サイト「美トリ」で報酬が支払われません。 調査サイト「美トリ」で覆面調査の仕事を行いました。 サ 1 2023/02/24 19:04
- その他(開発・運用・管理) Windows serverでマルチキャスト通信の確認をしたいです。MicrosoftよりMPING 1 2023/03/31 01:05
- サーバー Webサイト構築フリーランスの案件受注について 1 2022/03/27 18:16
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
Googleドライブをクイックアク...
-
関西(大阪)から尾瀬に電車、...
-
一方通行や右左折禁止のわかる...
-
ルート50の解き方
-
Googleマップのルートを手動で...
-
パソコンでの『ルート(√)2』...
-
Cドライブ直下に、ファイル等を...
-
googlemapで最寄駅を調べる方法
-
you are an idiot!のアクセス方...
-
横浜駅から200KmのJR駅は
-
京都から名古屋: 一般道での走...
-
パソコンのアプリ版のGoogleド...
-
√6のようなルートを少数に直す...
-
大阪~草津までの一般道最短ル...
-
通所手当:定期購入のタイミン...
-
通勤経路をわざわざ遠いところ...
-
新潟から軽井沢おもちゃ王国
-
エクセルでルートの上の棒を長...
-
京都から名古屋まで下道で行くには
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
富士山麓にオウム鳴く?
-
Googleドライブをクイックアク...
-
関西(大阪)から尾瀬に電車、...
-
√96の解き方
-
SDカードに取り込んだ音楽の...
-
通勤経路をわざわざ遠いところ...
-
自宅から最寄りの駅までの地図...
-
横浜駅から200KmのJR駅は
-
一方通行や右左折禁止のわかる...
-
google mapでのルート検索を良...
-
昼休みに来る人ってどういう神...
-
√6のようなルートを少数に直す...
-
2023.4.18東京から松本.安房峠...
-
ルート50の解き方
-
Googleマップのルートを手動で...
-
googlemapで最寄駅を調べる方法
-
nslookup時のDNSサーバのタイム...
-
京都から名古屋: 一般道での走...
-
定期券で途中で降りたらお金取...
-
番地までは分かっているがマン...
おすすめ情報