セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法

文書翻訳 文書翻訳
文書番号: 931351 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料では、セキュリティで保護された LDAP (Lightweight Directory Access Protocol) 証明書にサブジェクトの別名 (SAN) を追加する方法について説明します。LDAP 証明書は、Microsoft Windows Server 2003 ベースのコンピュータに構成された証明機関 (CA) に送信されます。SAN を使用すると、コンピュータ名ではなく DNS (Domain Name System) 名を使用してドメイン コントローラに接続できます。この資料では、エンタープライズ CA、スタンドアロン CA、またはサードパーティの CA に送信される証明書要求に SAN 属性を追加する方法について記載しています。

はじめに

この資料では、セキュリティで保護された LDAP 証明書に SAN 属性を追加する方法、および次の作業を行う方法について説明します。
  • 証明書要求から SAN 属性を受け付けるように CA を構成する。
  • エンタープライズ CA への証明書要求を作成および送信する。
  • スタンドアロン CA への証明書要求を作成および送信する。
  • Certreq.exe ツールを使用して証明書要求を作成する。
  • サードパーティの CA への証明書要求を作成および送信する。

詳細

証明書要求から SAN 属性を受け付けるように CA を構成する方法

Windows Server 2003 ベースのコンピュータで構成されている CA は、デフォルトでは、SAN 拡張子を含む証明書を発行しません。証明書要求に SAN エントリが含まれていても、これらのエントリは発行される証明書から除外されます。この動作を変更するには、証明機関 (CA) サービスを実行するサーバー上のコマンド プロンプトで、次のコマンドを実行します。コマンドごとに Enter キーを押します。
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

証明書要求を作成および送信する方法

エンタープライズ CA に証明書要求を送信する場合、Active Directory ディレクトリ サービスの情報を使用する代わりに要求内の SAN を使用するには、証明書テンプレートを構成する必要があります。バージョン 1 の Web サーバー テンプレートを使用すると、LDAP over SSL (Secure Sockets Layer) をサポートする証明書を要求できます。バージョン 2 のテンプレートを構成すると、証明書要求または Active Directory のいずれかから SAN を取得できます。バージョン 2 のテンプレートに基づく証明書を発行するには、エンタープライズ CA が Windows Server 2003 Enterprise Edition ベースのコンピュータで実行されている必要があります。

スタンドアロン CA への要求を送信する場合、証明書テンプレートは使用されません。したがって、SAN は常に証明書要求に含まれている必要があります。SAN 属性は、Certreq.exe プログラムを使用して作成される要求に追加できます。また、SAN 属性は、Web 登録ページを使用して送信される要求にも含めることができます。

Web 登録ページを使用して証明書要求をエンタープライズ CA に送信する方法

SAN を含む証明書要求をエンタープライズ CA に送信するには、次の手順を実行します。
  1. Internet Explorer を起動します。
  2. Internet Explorer で、http://servername/certsrv に接続します。

    : servername は、Windows Server 2003 を実行していて、アクセス先の CA が存在する Web サーバーの名前です。
  3. [証明書を要求する] をクリックします。
  4. [証明書の要求の詳細設定] をクリックします。
  5. [この CA への要求を作成し送信する] をクリックします。
  6. [証明書テンプレート] ボックスの一覧の [Web サーバー] をクリックします。

    : CA は、Web サーバー証明書を発行するように構成されている必要があります。CA が Web サーバー証明書を発行するようには構成されていない場合、証明機関スナップインで、"証明書テンプレート" フォルダに Web サーバー テンプレートを追加する操作が必要になることがあります。
  7. 必要に応じて、ID 情報を設定します。
  8. [名前] ボックスに、ドメイン コントローラの完全修飾ドメイン名を入力します。
  9. [キーのオプション] の下で、次のオプションを設定します。
    • 新しいキー セットを作成する
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • キー使用法 : 交換
    • キーのサイズ : 1024 〜 16384
    • 自動キー コンテナ名
    • ローカル コンピュータの証明書ストアに証明書を格納する
  10. [追加オプション] の下の [要求の形式] で [CMC] をクリックします。
  11. [属性] ボックスに、必要な SAN 属性を次の形式で入力します。
    san:dns=dns.name[&dns=dns.name]
    複数の DNS 名を指定する場合は、アンパサンド (&) で区切ります。たとえば、ドメイン コントローラ名が corpdc1.fabrikam.com で、エイリアスが ldap.fabrikam.com の場合、これらの両方の名前が SAN 属性に含まれている必要があります。この場合、入力する属性文字列は、次のようになります。
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. [送信] をクリックします。
  13. [証明書は発行されました] Web ページが表示されたら、[この証明書のインストール] をクリックします。

Web 登録ページを使用して証明書要求をスタンドアロン CA に送信する方法

SAN を含む証明書要求をスタンドアロン CA に送信するには、次の手順を実行します。
  1. Internet Explorer を起動します。
  2. Internet Explorer で、http://servername/certsrv に接続します。

    : servername は、Windows Server 2003 を実行していて、アクセス先の CA が存在する Web サーバーの名前です。
  3. [証明書を要求する] をクリックします。
  4. [証明書の要求の詳細設定] をクリックします。
  5. [この CA への要求を作成し送信する] をクリックします。
  6. 必要に応じて、ID 情報を設定します。
  7. [名前] ボックスに、ドメイン コントローラの完全修飾ドメイン名を入力します。
  8. [必要な証明書の種類] ボックスの一覧の [サーバー認証証明書] をクリックします。
  9. [キーのオプション] の下で、次のオプションを設定します。
    • 新しいキー セットを作成する
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • キー使用法 : 交換
    • キーのサイズ : 1024 〜 16384
    • 自動キー コンテナ名
    • ローカル コンピュータの証明書ストアに証明書を格納する
  10. [追加オプション] の下の [要求の形式] で [CMC] をクリックします。
  11. [属性] ボックスに、必要な SAN 属性を次の形式で入力します。
    san:dns=dns.name[&dns=dns.name]
    複数の DNS 名を指定する場合は、アンパサンド (&) で区切ります。たとえば、ドメイン コントローラ名が corpdc1.fabrikam.com で、エイリアスが ldap.fabrikam.com の場合、これらの両方の名前が SAN 属性に含まれている必要があります。この場合、入力する属性文字列は、次のようになります。
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. [送信] をクリックします。
  13. CA が証明書を自動的に発行するようには構成されていない場合、[保留中の証明書] Web ページが表示され、要求した証明書が管理者によって発行されるまで待つように求められます。

    管理者が発行した証明書を取得するには、http://servername/certsrv に接続し、[保留中の証明書の要求の状態] をクリックします。要求した証明書をクリックします。

    証明書が発行されている場合、[証明書は発行されました] Web ページが表示されます。[この証明書のインストール] をクリックして、証明書をインストールします。

Certreq.exe ユーティリティを使用して SAN を含む証明書要求を作成および送信する方法

Certreq.exe ユーティリティを使用して証明書要求を作成および送信するには、次の手順を実行します。
  1. 証明書要求の設定を指定する .inf ファイルを作成します。次のサンプル コードを使用して .inf ファイルを作成できます。
    [Version] 
    
    Signature="$Windows NT$ 
    
    [NewRequest]
    Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controller
    EncipherOnly = FALSE
    Exportable = FALSE  ; TRUE = Private key is exportable
    KeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 
    			  ;    4096, 8192, 16384
    KeySpec = 1             ; Key Exchange
    KeyUsage = 0xA0     ; Digital Signature, Key Encipherment
    MachineKeySet = True
    ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
    ProviderType = 12
    RequestType = CMC
    	
    ; Omit entire section if CA is an enterprise CA
    [EnhancedKeyUsageExtension]
    OID=1.3.6.1.5.5.7.3.1 ; Server Authentication
    	
    [RequestAttributes]
    CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CA
    SAN="dns=.fabrikam.com&dns=ldap.fabrikam.com"
    
    
  2. このファイルを Request.inf という名前で保存します。
  3. コマンド プロンプトを起動します。
  4. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    certreq -new request.inf certnew.req
    このコマンドは、Request.inf ファイルの情報を使用して、.inf ファイルの RequestType 値で指定されている形式で要求を作成します。要求が作成されると、公開キーと秘密キーの組が自動的に生成され、ローカル コンピュータの登録要求ストアの要求オブジェクトに格納されます。
  5. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    certreq -submit certnew.req certnew.cer
    このコマンドは、証明書要求を CA に送信します。複数の CA が環境内にある場合は、コマンド ラインで -config スイッチを使用して、要求を特定の CA に送信することができます。-config スイッチを使用しなかった場合は、要求の送信先の CA を選択するように求められます。

    -config スイッチでは、次の形式を使用して特定の CA を参照します。
    computername\Certification Authority Name
    たとえば、CA の名前が Corporate Policy CA1 でドメイン名が corpca1.fabrikam.com の場合に、certreq コマンドを ?config スイッチと一緒に使用して CA を指定するには、次のコマンドを入力します。
    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer
    この CA がエンタープライズ CA で、証明書要求を送信するユーザーがテンプレートに対する読み取りと登録のアクセス許可を持っている場合、要求は送信されます。発行された証明書は、Certnew.cer ファイルに格納されます。CA がスタンドアロン CA の場合、証明書要求は、CA 管理者により承認されるまで保留状態に置かれます。certreq -submit コマンドの出力には、送信した要求の要求 ID 番号が含まれます。証明書が承認されると直ちに、証明書は要求 ID 番号を使用して取得できるようになります。
  6. 要求 ID 番号を使用して証明書を取得します。これを行うには、次のコマンドを入力し、Enter キーを押します。
    certreq -retrieve RequestID certnew.cer
    ここでも、-config スイッチを使用して、特定の CA から証明書要求を取得することができます。-config スイッチを使用しなかった場合は、証明書の取得元の CA を選択するように求められます。
  7. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    certreq -accept certnew.cer
    取得した証明書は、インストールする必要があります。このコマンドは、証明書を適切なストアにインポートし、手順 4. で作成された秘密キーにリンクします。

サードパーティの CA への証明書要求を作成および送信する方法

証明書要求をサードパーティの CA に送信する必要がある場合は、最初に Certreq.exe ツールを使用して証明書要求ファイルを作成します。次に、ベンダに応じて適切な方法を使用して、その要求をサードパーティの CA に送信します。サードパーティの CA は、CMC 形式の証明書要求を処理できる必要があります。

: 多くのベンダでは、証明書要求は証明書の署名要求 (CSR) と呼ばれています。

関連情報

サードパーティの CA を使用して LDAP over SSL を有効にする方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
321051 サードパーティの証明機関を使用して LDAP over SSL を有効にする方法

プロパティ

文書番号: 931351 - 最終更新日: 2008年2月6日 - リビジョン: 3.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
キーワード:?
kbhowto kbexpertiseadvanced KB931351
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com