現在オフラインです。再接続するためにインターネットの接続を待っています

セキュリティで保護された LDAP 証明書にサブジェクトの別名を追加する方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

概要
この資料では、セキュリティで保護された LDAP (Lightweight Directory Access Protocol) 証明書にサブジェクトの別名 (SAN) を追加する方法について説明します。LDAP 証明書は、Microsoft Windows Server 2003 ベースのコンピュータに構成された証明機関 (CA) に送信されます。SAN を使用すると、コンピュータ名ではなく DNS (Domain Name System) 名を使用してドメイン コントローラに接続できます。この資料では、エンタープライズ CA、スタンドアロン CA、またはサードパーティの CA に送信される証明書要求に SAN 属性を追加する方法について記載しています。
はじめに
この資料では、セキュリティで保護された LDAP 証明書に SAN 属性を追加する方法、および次の作業を行う方法について説明します。
  • 証明書要求から SAN 属性を受け付けるように CA を構成する。
  • エンタープライズ CA への証明書要求を作成および送信する。
  • スタンドアロン CA への証明書要求を作成および送信する。
  • Certreq.exe ツールを使用して証明書要求を作成する。
  • サードパーティの CA への証明書要求を作成および送信する。
詳細

証明書要求から SAN 属性を受け付けるように CA を構成する方法

Windows Server 2003 ベースのコンピュータで構成されている CA は、デフォルトでは、SAN 拡張子を含む証明書を発行しません。証明書要求に SAN エントリが含まれていても、これらのエントリは発行される証明書から除外されます。この動作を変更するには、証明機関 (CA) サービスを実行するサーバー上のコマンド プロンプトで、次のコマンドを実行します。コマンドごとに Enter キーを押します。
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvc

証明書要求を作成および送信する方法

エンタープライズ CA に証明書要求を送信する場合、Active Directory ディレクトリ サービスの情報を使用する代わりに要求内の SAN を使用するには、証明書テンプレートを構成する必要があります。バージョン 1 の Web サーバー テンプレートを使用すると、LDAP over SSL (Secure Sockets Layer) をサポートする証明書を要求できます。バージョン 2 のテンプレートを構成すると、証明書要求または Active Directory のいずれかから SAN を取得できます。バージョン 2 のテンプレートに基づく証明書を発行するには、エンタープライズ CA が Windows Server 2003 Enterprise Edition ベースのコンピュータで実行されている必要があります。

スタンドアロン CA への要求を送信する場合、証明書テンプレートは使用されません。したがって、SAN は常に証明書要求に含まれている必要があります。SAN 属性は、Certreq.exe プログラムを使用して作成される要求に追加できます。また、SAN 属性は、Web 登録ページを使用して送信される要求にも含めることができます。

Web 登録ページを使用して証明書要求をエンタープライズ CA に送信する方法

SAN を含む証明書要求をエンタープライズ CA に送信するには、次の手順を実行します。
  1. Internet Explorer を起動します。
  2. Internet Explorer で、http://servername/certsrv に接続します。

    : servername は、Windows Server 2003 を実行していて、アクセス先の CA が存在する Web サーバーの名前です。
  3. [証明書を要求する] をクリックします。
  4. [証明書の要求の詳細設定] をクリックします。
  5. [この CA への要求を作成し送信する] をクリックします。
  6. [証明書テンプレート] ボックスの一覧の [Web サーバー] をクリックします。

    : CA は、Web サーバー証明書を発行するように構成されている必要があります。CA が Web サーバー証明書を発行するようには構成されていない場合、証明機関スナップインで、"証明書テンプレート" フォルダに Web サーバー テンプレートを追加する操作が必要になることがあります。
  7. 必要に応じて、ID 情報を設定します。
  8. [名前] ボックスに、ドメイン コントローラの完全修飾ドメイン名を入力します。
  9. [キーのオプション] の下で、次のオプションを設定します。
    • 新しいキー セットを作成する
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • キー使用法 : 交換
    • キーのサイズ : 1024 ~ 16384
    • 自動キー コンテナ名
    • ローカル コンピュータの証明書ストアに証明書を格納する
  10. [追加オプション] の下の [要求の形式] で [CMC] をクリックします。
  11. [属性] ボックスに、必要な SAN 属性を次の形式で入力します。
    san:dns=dns.name[&dns=dns.name]
    複数の DNS 名を指定する場合は、アンパサンド (&) で区切ります。たとえば、ドメイン コントローラ名が corpdc1.fabrikam.com で、エイリアスが ldap.fabrikam.com の場合、これらの両方の名前が SAN 属性に含まれている必要があります。この場合、入力する属性文字列は、次のようになります。
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. [送信] をクリックします。
  13. [証明書は発行されました] Web ページが表示されたら、[この証明書のインストール] をクリックします。

Web 登録ページを使用して証明書要求をスタンドアロン CA に送信する方法

SAN を含む証明書要求をスタンドアロン CA に送信するには、次の手順を実行します。
  1. Internet Explorer を起動します。
  2. Internet Explorer で、http://servername/certsrv に接続します。

    : servername は、Windows Server 2003 を実行していて、アクセス先の CA が存在する Web サーバーの名前です。
  3. [証明書を要求する] をクリックします。
  4. [証明書の要求の詳細設定] をクリックします。
  5. [この CA への要求を作成し送信する] をクリックします。
  6. 必要に応じて、ID 情報を設定します。
  7. [名前] ボックスに、ドメイン コントローラの完全修飾ドメイン名を入力します。
  8. [必要な証明書の種類] ボックスの一覧の [サーバー認証証明書] をクリックします。
  9. [キーのオプション] の下で、次のオプションを設定します。
    • 新しいキー セットを作成する
    • CSP: Microsoft RSA SChannel Cryptographic Provider
    • キー使用法 : 交換
    • キーのサイズ : 1024 ~ 16384
    • 自動キー コンテナ名
    • ローカル コンピュータの証明書ストアに証明書を格納する
  10. [追加オプション] の下の [要求の形式] で [CMC] をクリックします。
  11. [属性] ボックスに、必要な SAN 属性を次の形式で入力します。
    san:dns=dns.name[&dns=dns.name]
    複数の DNS 名を指定する場合は、アンパサンド (&) で区切ります。たとえば、ドメイン コントローラ名が corpdc1.fabrikam.com で、エイリアスが ldap.fabrikam.com の場合、これらの両方の名前が SAN 属性に含まれている必要があります。この場合、入力する属性文字列は、次のようになります。
    san:dns=corpdc1.fabrikam.com&dns=ldap.fabrikam.com
  12. [送信] をクリックします。
  13. CA が証明書を自動的に発行するようには構成されていない場合、[保留中の証明書] Web ページが表示され、要求した証明書が管理者によって発行されるまで待つように求められます。

    管理者が発行した証明書を取得するには、http://servername/certsrv に接続し、[保留中の証明書の要求の状態] をクリックします。要求した証明書をクリックします。

    証明書が発行されている場合、[証明書は発行されました] Web ページが表示されます。[この証明書のインストール] をクリックして、証明書をインストールします。

Certreq.exe ユーティリティを使用して SAN を含む証明書要求を作成および送信する方法

Certreq.exe ユーティリティを使用して証明書要求を作成および送信するには、次の手順を実行します。
  1. 証明書要求の設定を指定する .inf ファイルを作成します。次のサンプル コードを使用して .inf ファイルを作成できます。
    [Version] Signature="$Windows NT$ [NewRequest]Subject = "CN=corpdc1.fabrikam.com" ; must be the FQDN of domain controllerEncipherOnly = FALSEExportable = FALSE  ; TRUE = Private key is exportableKeyLength = 1024    ; Common key sizes: 512, 1024, 2048, 			  ;    4096, 8192, 16384KeySpec = 1             ; Key ExchangeKeyUsage = 0xA0     ; Digital Signature, Key EnciphermentMachineKeySet = TrueProviderName = "Microsoft RSA SChannel Cryptographic Provider"ProviderType = 12RequestType = CMC	; Omit entire section if CA is an enterprise CA[EnhancedKeyUsageExtension]OID=1.3.6.1.5.5.7.3.1 ; Server Authentication	[RequestAttributes]CertificateTemplate = WebServer ;Omit  line if CA is a stand-alone CASAN="dns=.fabrikam.com&dns=ldap.fabrikam.com"
  2. このファイルを Request.inf という名前で保存します。
  3. コマンド プロンプトを起動します。
  4. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    certreq -new request.inf certnew.req
    このコマンドは、Request.inf ファイルの情報を使用して、.inf ファイルの RequestType 値で指定されている形式で要求を作成します。要求が作成されると、公開キーと秘密キーの組が自動的に生成され、ローカル コンピュータの登録要求ストアの要求オブジェクトに格納されます。
  5. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    certreq -submit certnew.req certnew.cer
    このコマンドは、証明書要求を CA に送信します。複数の CA が環境内にある場合は、コマンド ラインで -config スイッチを使用して、要求を特定の CA に送信することができます。-config スイッチを使用しなかった場合は、要求の送信先の CA を選択するように求められます。

    -config スイッチでは、次の形式を使用して特定の CA を参照します。
    computername\Certification Authority Name
    たとえば、CA の名前が Corporate Policy CA1 でドメイン名が corpca1.fabrikam.com の場合に、certreq コマンドを –config スイッチと一緒に使用して CA を指定するには、次のコマンドを入力します。
    certreq -submit -config "corpca1.fabrikam.com\Corporate Policy CA1" certnew.req certnew.cer
    この CA がエンタープライズ CA で、証明書要求を送信するユーザーがテンプレートに対する読み取りと登録のアクセス許可を持っている場合、要求は送信されます。発行された証明書は、Certnew.cer ファイルに格納されます。CA がスタンドアロン CA の場合、証明書要求は、CA 管理者により承認されるまで保留状態に置かれます。certreq -submit コマンドの出力には、送信した要求の要求 ID 番号が含まれます。証明書が承認されると直ちに、証明書は要求 ID 番号を使用して取得できるようになります。
  6. 要求 ID 番号を使用して証明書を取得します。これを行うには、次のコマンドを入力し、Enter キーを押します。
    certreq -retrieve RequestID certnew.cer
    ここでも、-config スイッチを使用して、特定の CA から証明書要求を取得することができます。-config スイッチを使用しなかった場合は、証明書の取得元の CA を選択するように求められます。
  7. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    certreq -accept certnew.cer
    取得した証明書は、インストールする必要があります。このコマンドは、証明書を適切なストアにインポートし、手順 4. で作成された秘密キーにリンクします。

サードパーティの CA への証明書要求を作成および送信する方法

証明書要求をサードパーティの CA に送信する必要がある場合は、最初に Certreq.exe ツールを使用して証明書要求ファイルを作成します。次に、ベンダに応じて適切な方法を使用して、その要求をサードパーティの CA に送信します。サードパーティの CA は、CMC 形式の証明書要求を処理できる必要があります。

: 多くのベンダでは、証明書要求は証明書の署名要求 (CSR) と呼ばれています。
関連情報
サードパーティの CA を使用して LDAP over SSL を有効にする方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
321051 サードパーティの証明機関を使用して LDAP over SSL を有効にする方法
プロパティ

文書番号:931351 - 最終更新日: 02/06/2008 07:08:00 - リビジョン: 3.1

  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • kbhowto kbexpertiseadvanced KB931351
フィードバック