Microsoft Certificate Servicesにて発行した証明書の展開方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です

How to Implement Certificates Issued from Microsoft Certificate Services

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Implement-Certificates-Issued-from-M...

 

 

概要

Microsoft Certification Authorityを使用すると、ユーザーはSSL復号化 (フォワード プロキシ)、GlobalProtectといった各種機能のシームレスなの展開が可能となります(ルート証明書がすべてのクライアントにプッシュされることを想定)。Microsoft Certification Authorityによって、管理用のweb UIアクセス時の証明書関連エラーも発生しなくなります。

 

Windows Server 2008 EnterpriseでMicrosoft Certification Authorityを認証局としたルート証明書のバックアップ/エクスポート、ないしは下位認証局の証明書作成/エクスポートに使用します。これによりルート証明書が保全された上で下位にていつでも証明書の廃止ができ、またこれらはクライアントからは完全に透過的な実施となります。下位認証局は Microsoft Certificate Serviceのweb UIから‘Advanced Certificate Request’を使用して、その認証局が下位認証局テンプレートもつことで作成できます。

 

sub-edit2.JPG

certificate services のwebページが機能しない場合、ドメイン コントローラーのコマンド ラインから下記のコマンドで証明書を生成してください。

C:\> certreq.exe -submit -attrib "CertificateTemplate:SubCA" <CSR file>

 

下位認証局をMicrosoft Certificate Serviceにて作成できない場合、SSL復号化用の証明書を取り急ぎ署名する目的で、ルート証明書(秘密鍵有り)をエクスポートし、パロアルトネットワークス ファイアウォールにインポートすることができます。

重要! このワークアラウンドは十分な注意の上で適用してください。下位の認証局証明書の発行が行われたら、ルート証明書は即座にパロアルトネットワークス ファイアウォールから削除することを強く推奨します。

  

手順

ルート証明書をCAからバックアップ/エクスポートするために、Certification Authorityスナップインを起動し、export wizardに従って操作します。

  1. Certification Authorityスナップインを起動し、認証局上で右クリックします。下記の図の通りに表示のメニューから"All Tasks" そして "Back up CA…"を選択します。
    backup-ca.JPG
  2. Nextを選択してBackup Wizardを継続します。
    backup-ca2.JPG
  3. "Private key and CA certificate"のチェックボックスを選択します。秘密鍵(Private key)なしでは認証局として署名をすることができなくなり、SSL復号化/フォワード プロキシの今回の要件を満たさなくなります。
    backup-ca3.JPG
  4. パスワードを入力して安全な場所に保存します。パスワードはインポート時に必要になります。
    backup-ca4.JPG
  5. Finishをクリックして backup/export 作業を終了します。証明書/秘密鍵は'.p12フォーマット'で保存されます。
    backup-ca5.JPG

 

回避策(workaround)

Microsoft Certificate Authorityによるルート証明書で下位認証局証明書を作成するために、一時的にルート証明書を認証局からパロアルトネットワークス ファイアウォールにインポートします。そして新しい下位認証局証明書をルート証明書を用いて作成/署名します。この例ではMicrosoftルート認証局である'InternalCA'が、下位認証局証明書'SubordinateCA'を認証局として作成しています。

重要! 下位認証局証明書を発行し次第、ルート証明書は削除してください。

Sub-CA.JPG

これによりルート認証局証明書(下位認証局証明書の作成後に削除する)を介さず、パロアルトネットワークス ファイアウォールによる組織内への下位認証局証明書の配布が可能となります。クライアントのシステムにルート証明書がインストールされていると(通常AD/GPO、スクリプトなどにより展開される)、下位証明書はルートにより署名されているため、デフォルトで信頼されます。以下の例はSSL復号化での完全/有効な証明書チェーンを示しています。証明書は下位認証局証明書により作成されたうえ、ルートで検証されています。

chain.JPG

ルート証明書が認証局としてインポートしたり、下位証明書が認証局としてインポート/作成されたりすることによって、(以前はユーザーにより展開されていた)SSL復号化の展開の他にも、GPのサーバー用に署名された証明書や安全なWebUIへの管理者アクセス、クライアント証明書なども同様のメリットを享受できます。
cert-options2.JPG

 

著者:bryan