Microsoft Certificate Serverを使用した下位CA証明書の作成方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Create Subordinate CA Certificates with Microsoft Certificate Server

https://live.paloaltonetworks.com/t5/Learning-Articles/How-to-Create-Subordinate-CA-Certificates-wit...

 

概要

この文書はMicrosoft Certificate Serverを使用した下位CA証明書の作成方法について記載します。

  • "http://<IPアドレスまたはサーバー名>/certsrv"をブラウザで開き、サーバーの画面にアクセスします。
  • "Welcome"画面にて、"Request a Certificate"を選択します。
    doc-1384-subcert1.jpg

  • 次の画面で"advanced certificate request"を選択します。
    subcert22.jpg

  • "Create and Submit a request to the CA"を選択します。
    subcert3.jpg
    次の画面のフォームで、"Certificate Template"のプルダウン メニューから"Subordinate Certification Authority"を選択します。証明書のための必要事項を入力します(名前、連絡先など)。申請を行うとローカル システムに証明書をダウンロードするためのリンクが表示されます。

subcert4.jpg

  • ダウンロード後、ローカルの証明書ストアから証明書をエクスポートします。"Internet Options"画面にて"Content"タブを選択し、"Certificates"ボタンをクリックします。新しい証明書をPersonal証明書ストアからエスクポートすることができます。 "Certificate Export Wizard"を表示するには、"Export"ボタンをクリックします。
    subcert5.png
  • "Certificate Export Wizard"画面にて、"Yes, export the private key"を選択し、続いてフォーマットを選択します。パスワードとファイル名、保存場所を指定します。
    subcert6.png

 

Microsoft Certificate Serverは、おそらく証明書をPFXフォーマット(PKCS #12)で提供しています。

証明書をPEMフォーマットでエクスポートするには、以下の手順で行います。

  • openSSLを使い、openssl pkcs12 –in pfxfilename.pfx –out tempfile.pem と入力します。
  • "tempfile.pem"をテキスト エディターで開きます。
  • -----BEGIN RSA PRIVATE KEY----- で始まっているセクションを見つけます。
  • -----END RSA PRIVATE KEY----- までの全テキストを選択し、新しいファイルに貼り付けて、拡張子".key"をつけて保存します。
  • ".pem"ファイルからそれ以外のテキストをコピーし、別のファイルに貼り付け、拡張子".crt"をつけて保存します。
  • 上記の手順により、keyファイルと証明書をインポートすることができます。

 

CLIコマンド

お客様のルートCAがWebインターフェイスを備えていない場合もあり、その場合はCLIを通して同じ操作を行うことができます。
Microsoft CAにおけるコマンド:

 

certreq -submit -attrib "CertificateTemplate:SubCA" <certificate-signing-request>.csr

 

このコマンドを入力することでGUIプロンプトが表示され、そのプロンプトで申請するCAを選択します。通常、同じサーバ上にはルートCAは1つだけなので、表示されているCAを選択します。 その後、該当する申請がCAサーバーの保留中の申請の中に表示されます。

 

 

著者:panagent