dポイントプレゼントキャンペーン実施中!

よろしくお願いします。
社内でCA局(RHL8.0+OpenSSL)を構築しました。
社内のクライアントは、WindowsXPで、ActiveDirectoryで移動プロファイルを利用しています。

ローカルのAdministratorでCA局の証明書をルート証明機関へインポートしました。
他のユーザでマシンへログインしたところ、
CAの証明書がルート証明機関へ入っていませんでした。

CAの証明書は各ユーザが行わなければいけないもの
なのでしょうか?

どのように行えば、インポートを行ったユーザ以外でも、
証明書を利用できるでしょうか?
ご教示よろしくお願いします。

A 回答 (2件)

えっと、順番が逆ですが5番から説明します。



5の実施手順
 ・IEを起動
 ・ツール⇒インターネットオプション⇒コンテンツ⇒証明書⇒信頼されたルート証明期間⇒インポート⇒DERエンコードした証明書ファイルを指定
 ・証明書の目的を設定
 って、手順で証明書DBに登録されて全ユーザで使用可能になった
 と記憶しています。
 IEのバージョンが上がったためか、移動プロファイルを使用されて
 いることで動作が違うのかもしれません。

4の実施手順
 ・ドメインサーバで5を実施
 ・グループポリシーで証明書の配布を選択
 ・配布する証明書として、5で取り込んだ証明書を指定

以上、ご参考まで

※おまけ※
話は変わりますが、ルート証明書の期限は運用面も考慮の上での
設定をお勧めします。
~昔はルート証明書の期限も結構短かったのに、久しぶりに見て
 みたら、全体に結構長くなってるわ、verisignの証明書がclass1-4で
 2セットずつ入ってるわ、吃驚しました。
 昔は社内で発行した証明書が一番ロングライフだったのに・・・(何故か悔しい)。
    • good
    • 0
この回答へのお礼

ドメインコントローラセキュリティポリシー設定で
証明書を配布することができました。

有難うございました。

お礼日時:2004/03/24 17:16

IEに元々入っていないroot証明書は個別に入れないとどーにもなりません。


できないなら、証明書を使うことをあきらめる事をお奨めします。

証明書を使うためには、以下の方法があります。
御社の会社の規模や、投資できる費用に応じて選択してください。

1.MSにお金を払って、IEに作成したCA局のroot証明書を入れて貰う。

2.IEにroot証明書が入っている認証局に証明書を発行して貰う。

3.IEAKでroot証明書を入れたイメージのインストーラを作成し、IEの再インストールを実施させる。

4.ドメインポリシーでドメインに参加している端末にroot証明書を流し込む。

5.セキュリティ管理者がroot証明書を1台1台インストールして回る。

避けたい方法.各ユーザにroot証明書をインストールさせる。(セキュリティを上げたいのか落としたいのか、目指す方向が不明確になるため。)

某電機メーカーの元セキュリティ基盤設計者

この回答への補足

ご回答ありがとう御座います。
4番、5番について、詳細を教えていただけると幸いです。
なお、ローカルマシンのAdministratorはもちろん、
ドメインのDomain Admins権限を持っていますので
ポリシーの書き換えは可能です。

よろしくお願いします。

補足日時:2004/03/22 01:16
    • good
    • 0

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!