none
IIS クライアント証明書の配布 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    [環境]
    <WebServer>
    ・WinServer2008R2 Standard SP1 x64
    IIS 7.5 自作サーバー証明書セット済み
    Active Directory 証明書サービス追加済み

    <クライアント>
    ・WinXP SP3 x86

    以下のサイトを元にサーバー証明書のセットから
    クライアントPCにて証明書をダウンロードし、
    クライアント認証が実現しています。

    <参考サイト>

    http://d.hatena.ne.jp/replication/20100802/1280928631

    http://msdn.microsoft.com/ja-jp/library/cc402157.aspx

    しかし、クライアントPCから
    https://WebServer/certsvr
    にアクセスさせたくないという要望があります。
    なので、WebServverにて要求・発行作業を行い、作成した証明書をファイル化して配布できないか考え中です。

    実現したいフローは下記の通りです。

    ・Serverがhttps://localhost/certsvr に接続してクライアント認証証明書を要求
    ・Severの自作CAにて、保留中の要求→発行。
    ・発行後、"ファイルにコピー"で出力。
    ・出力した.cerファイルを別のクライアントPCに配置。
    ・クライアントPCにて、.cerファイルをインストール………☆
    ・クライアントPCのIEにて、https://WebServer/XXXX/login.aspx (仮)に接続
    ・証明書を要求するポップアップが表示されるので、☆でインストールしたクライアント証明書を選択する
    ・接続OK!!!!!

    とできるのではないかと予想しており調べていますが、
    ☆でインストールしたときに、証明書ストアの個人にインストールされず
    クライアント証明書を選択できません(他の人にインストールされます)。

    そもそもこういったことは可能なのでしょうか?
    ご存知のかたがいらっしゃいましたら、ご教授願います。
    よろしくお願いします。


    • 編集済み frtakao 2012年2月14日 9:23
    2012年2月14日 9:00
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    ごめんなさい。

    おっしゃっている現象は、単に秘密キーのエクスポートしてないだけ(ファイル形式PKCS #12[拡張子pfx]にしていない)のような気がします。
    #エンターブライズのADを使うと配布なんかを自動化してくれますが、今回のfrtakaoさんの要件には必要ないかもです。

    • 回答の候補に設定 星 睦美 2012年2月28日 4:42
    • 回答としてマーク 星 睦美 2012年2月28日 7:03
    2012年2月20日 10:27
    |

すべての返信

  • Question
    サインインして投票
    2
    サインインして投票

    AD CSをおつかいとうことであれば、Enterprise CAdにしてもよいというのであれば、下記が可能です

    「証明機関」のスナップインから「証明書テンプレート」を右クリックして登録エージェントの証明書を発行できるようにしてください。

    つぎに、発行作業を行いたいユーザーでログインして、「証明書」のスナップインを起動し「登録エージェント」の証明書を発行してください。

    それが入れば、あとは以下の手順で代理発行できます。

    「他のユーザーの代理で証明書を登録する」
    http://technet.microsoft.com/ja-jp/library/cc770802(v=ws.10).aspx

    2012年2月16日 5:56
    |
  • Question
    サインインして投票
    0
    サインインして投票

    >Chuki様

    ご回答ありがとうございます。

    現在、別の現場にて作業しており、ご提示いただいた方法を確認できるのが

    最短で月曜日になります。確認後、成否をお伝えさせてください。

    取り急ぎ、ご回答の御礼まで。

    2012年2月17日 4:12
    |
  • Question
    サインインして投票
    0
    サインインして投票
    >Chuki様

    実運用時には、ほとんどのクライアントPCはドメイン内のユーザーや
    コンピューターではないので、エンタープライズCAは運用に向くのか
    という疑問がございます。

    なので、スタンドアロンCAで実現できないかと考えております。
    説明不足で申し訳ございません。

    2012年2月20日 2:35
    |
  • Question
    サインインして投票
    1
    サインインして投票

    ごめんなさい。

    おっしゃっている現象は、単に秘密キーのエクスポートしてないだけ(ファイル形式PKCS #12[拡張子pfx]にしていない)のような気がします。
    #エンターブライズのADを使うと配布なんかを自動化してくれますが、今回のfrtakaoさんの要件には必要ないかもです。

    • 回答の候補に設定 星 睦美 2012年2月28日 4:42
    • 回答としてマーク 星 睦美 2012年2月28日 7:03
    2012年2月20日 10:27
    |
  • Question
    サインインして投票
    0
    サインインして投票

    >Chuki様

    >単に秘密キーのエクスポートしてないだけ(ファイル形式PKCS #12[拡張子pfx]にしていない)のような気がします。

    確かに行っておりません。この情報を足がかりに調べてみます。

    2012年2月21日 9:35
    |
  • Question
    サインインして投票
    0
    サインインして投票

    frtakao さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    今回はChuki さんからの返信が手がかりになったと思いますので
    私から[回答としてマーク] をさせていただきました。

    よろしければfrtakao さんの検証の結果もお知らせいただけるとうれしいです。
    今後ともTechNet フォーラムをよろしくお願いします。

    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    2012年2月28日 7:07
    |
  • Question
    サインインして投票
    1
    サインインして投票

    >Chuki様

    遅くりましたが、動作確認取れました。

    フローを修正して記しておきます。

    Chuki様ありがとうございました。

    ↓↓↓ 訂正したフロー(★が変更点) ↓↓↓

    ・Serverがhttps://localhost/certsvr に接続してクライアント認証証明書を要求
      ★このとき、秘密キーをエクスポートできるようにして、要求を行う。

    ・Severの自作CAにて、保留中の要求→発行。
    ・発行後、"ファイルにコピー"で出力。
      ★このときに、秘密キーをエクスポートする。………☆2

    ・出力した.cerファイルを別のクライアントPCに配置。
    ・クライアントPCにて、.cerファイルをインストール………☆
      ★このときに、☆2で出力した秘密キーをインポートする。
        これで、証明書ストアの"個人"に証明書をインポートできる

    ・クライアントPCのIEにて、https://WebServer/XXXX/login.aspx (仮)に接続
    ・証明書を要求するポップアップが表示されるので、☆でインストールしたクライアント証明書を選択する
      ★インポートした☆2を選択する

    ・接続OK!!!!!





    • 編集済み frtakao 2012年3月3日 4:46
    2012年3月2日 4:55
    |