DPM 2012 証明書ベースでの保護 その1 証明機関の構築

こんにちは、日本マイクロソフト System Center Support Team の益戸です。

 

DPM 2012 R2 では、証明書ベースの認証を使用することで、WORKGROUP のサーバーや、信頼関係のないドメインのサーバーについても保護することが可能となりました。

今回は、証明書ベースでの DPM の保護手順をご紹介します。

 

DPM では自己署名での証明書をサポートしておりませんので、証明書ベースでの保護を実現するためには、DPM サーバーとDPM エージェントの他に、認証局(CA)を構築し、DPM の要件に沿った証明書を発行する必要があります。

今回は、エンタープライズCA をドメイン コントローラー上に構築し、DPM サーバーと、DPM エージェントに証明書を発行し、その証明書を使って、証明書ベースの認証を使用した DPM での保護までをご紹介します。

 

なお、WORKGROUP や信頼関係のないドメインの保護については、サポートされないシナリオもあります。

予め、以下の技術情報から、ご希望のシナリオがサポートされるかどうかについても、ご確認ください。

 

ワークグループおよび信頼されていないドメインに属するコンピューターの保護

https://technet.microsoft.com/ja-jp/library/hh757801.aspx

 

[証明機関の役割追加]

認証局(CA)とするサーバーにログインし、サーバーマネージャーより、Active Directory 証明書サービスを導入します。

 

証明書の発行をWebから実施する為、今回は、証明機関と証明機関 Web 登録を選択します。

 

無事にインストールが完了しました。

 

続いて、「対象サーバーにActive Directory 証明書サービスを構成する」をクリックし証明書サービスの構成を実施します。

管理者権限の資格情報を入力し、ウィザードを進めます。

 

証明書機関と証明機関 Web 登録を選択し、構成を続けます。

 

今回はエンタープライズ CA で構築します。

 

今回は最上位になるので、ルート CA を選択します。

 

せっかくなので、秘密キーも新しく作成します。

 

特に暗号化については、DPM は要件としてないので、既定のまま進めます。

 

CA の名前も有効期間も特に要件がなければ、そのままで進みます。

 

CA データベースも同様に既定で進めます。

 

確認でパラメーターに問題がなければ、構成します。

 

構成に成功したら、次は証明書のテンプレート作成です。

 

証明機関を選択し、certsrv を開きます。

ツリーを展開して、証明書テンプレートから管理を選択し、証明書テンプレート コンソールを起動します。

 

DPM では、クライアント認証とサーバー認証が要件なので、「RSA および ISA サーバー」からテンプレートを複製します。

 

テンプレートの名前はわかりやすく「DPMAuthentication」、有効期間は今回は5年としました。

 

秘密キーのエクスポートを許可にチェックを入れます。(WORKGROUP等にインポートする際に秘密キーが必要になります。)

 

セキュリティが低くなる警告が出ますが、Active Directory で管理していないサーバーとなるので、サブジェクト名については、要求に含まれるを選択します。

 

発行の要件で CA 証明書マネージャーの許可にチェックを付けます。(これで証明書マネージャが承認しない限り、証明書は発行されない為、サブジェクト名のセキュリティ リスクが軽減されます。

テンプレートの設定は以上となるので、「OK」を選択します。

 

Certsrv画面に戻り、DPMAuthentication を発行する証明書テンプレートにします。

 

証明書テンプレートの選択にて「DPMAuthentication」を選択し、「OK」を選択します。

 

次に、HTTP経由で CRL 配布ポイントと機関情報アクセスが出来るようにします。

Certsrv 画面にて、証明機関を選択し、プロパティを開きます。

 

拡張機能タブを選択し、CRL 配布ポイントの https:// を選択し、「CRL に含め~」と「発行された証明書の~」にチェックを入れます。

 

同様に、機関情報アクセスでは、https:// にて「発行された証明書の~」にチェックを入れ、「OK」を選択します。

証明書サービスの再起動のポップアップが出力されますので、「はい」を選択します。

リモート経由で実施している場合は、変更を反映させる為に手動で証明書機関サービスを再起動しましょう。

 

 

インターネット インフォメーション サービス (IIS) マネージャーから、HTTPS を構成します。

ツリーを展開し、[Default Web Site] を選択し、左ペインから「バインド」を選択します。

 

追加を選択し、HTTPS を構成していきます。

 

HTTPS を選択し、SSL 証明書を選択し、「OK」を選択します。

 

HTTPS が追加されたことを確認します。

 

HTTPS で証明機関にアクセスできるか確認します。アドレスは、https://<Hostname>/certsrv です。

問題なく認証サービスにアクセスできれば、証明書の要求からDPM への展開です。

以降はその2 へ続く。。。