ADCS(Active Directory 証明書サービス)で自動発行したクライアント証明書でIAM Roles Anywhereを使ってみた | DevelopersIO
MADグループ@大阪の岩田です。先日リリースされた新機能IAM Roles AnywhereのPKIとしてADCS(Active Directory 証明書サービス)を使うとAD内のコンピューター/ユーザーにクライアント証明書を自動発行しつつ、自動発行されたクライアント証明書を使って簡単にAWS環境にアクセスできるのでは?と思ったので、試しにやってみました。 環境 今回検証に利用した環境です OS: Windows Server2019 フォレストの機能レベル:Windows Server2016 ドメインの機能レベル:Windows Server2016 aws_signing_helper.exe: 1.0.0 AWS CLI: 2.7.13 ADCSの構築と証明書自動発行の設定 まずADDS・ADCSを構築してクライアント証明書が自動発行されるまでの設定を行います。設定手順は以下のサ
前回は「Active Directory 証明書サービス」の構築手順を紹介しました。今回は複数ユーザーに証明書を自動配布する設定方法を紹介します。 本文では「Active Directory ドメイン サービス」をADDS、「Active Directory 証明書サービス」をADCS、「クライアント証明書」を証明書、「グループポリシーオブジェクト」をGPOと表現します。 ADCS構築方法については以下の記事をご確認ください。 blog.jbs.co.jp 証明書自動登録設定とは 必要端末と処理の流れ グループポリシーの設定 証明書テンプレート作成・発行 証明書の配布済み確認 おわりに 証明書自動登録設定とは 証明書自動登録設定とは、ドメイン参加しているユーザーやコンピューターに証明書を自動配布する設定です。(ドメイン環境にエンタープライズCA*1を構築していることが前提) 必要な設定はす
前回の続きとなりますが、ADCSのインストール後の設定を進めていきます。 サーバーマネージャーの右上に「!」マークが出てくるので、「対象サーバーにActive Directory証明書サービスを構成する」リンクを押下します。 この構成ウィザードでは、最初に資格情報を入力します。 構成時に必要となる権限(グループ所属)はありますが、サービスとして動作する際はローカルシステムとして動くのおそらく一時的なものですね。 今回はエンタープライズ証明機関として構築していこうと思います。 ルート証明機関はスタンドアロンとして、オフライン保存しておくことでルート証明書の安全性を高めたりすることもできますが、構築する証明機関の重要性から選択できれば良いかと思います。 Enterprise Adminsのグループに属したユーザーを指定していきましょう。 インストール時に証明機関のみを入れているので、ほかの役割
ADCS(Microsoft CA局)の冗長化、負荷分散設計についてふと気になったので、調べてみました。まず、社内で簡単に証明書を発行するCA局を構築したい場合は、ADCSが便利です。 特に昨今話題になっているLDAPS通信の為に、ADCSをいれておけば、自動でドメインコントローラ証明書を発行して、さらに自動更新までしてくれます。 もはや、必須ともいえるかもしれません。証明書関連の知識はちょっと難しいので、セキュリティのお勉強が必要になります。そして、これまで何度かADCSを構築してきましたが、基本はシングル構成で、上位、下位の構成で構築することはあっても、発行CA局を複数、しかも冗長構成、負荷分散を意識したことがなかったので、調べてみました。 まずはこちらの情報が参考になりました。 証明書サービス(AD CS)の冗長化について 質問の抜粋です。 証明機関およびオンラインレスポンダの役割を
前回は「Active Directory 証明書サービス」の構築手順について紹介しました。今回は証明書テンプレートの作成・発行を行い、ユーザーにクライアント証明書を配布する手順を紹介します。 本文では「Active Directory 証明書サービス」をADCS、「Active Directory ドメイン サービス」をADDS、「クライアント証明書」を証明書と表現します。 ADCS構築方法については以下の記事をご確認ください。 blog.jbs.co.jp 証明書テンプレートとは 必要端末と処理の流れ 証明書テンプレート作成 証明書テンプレート発行 ドメイン参加済み端末にて証明書の要求・配布確認 おわりに 証明書テンプレートとは 証明書テンプレートとはエンタープライズCA*1で使用される証明書のひな型となるもので、証明書に記載される内容や公開鍵の長さ、証明書の発行・登録を定義したものです
Jamf Pro + Azure AD Application Proxy でオンプレADCSからクライアント証明書を発行してみた - Qiita
Jamf Pro + Azure AD Application Proxy でオンプレADCSからクライアント証明書を発行してみたAzureADJamf こんにちは。某グループウェアの会社で情シスをやっているあおてつです。 この記事はcorp-engr 情シスSlack(コーポレートエンジニア x 情シス)#3 Advent Calendar 2020 15日目の記事です。 はじめに オンプレ環境に構成した認証局(Active Directory証明書サービス:以下 ADCS)からクライアント証明書を発行して、社内の無線LANに接続したり、VPNに接続するのはよくある運用だと思います。Windows PCであればADドメインに参加すれば比較的簡単に実現可能ですが、Appleデバイス(Mac)の場合はWindowsのようにできないためMDMを使うなど一工夫必要です。 Apple製品のデバイス
本記事では「Active Directory 証明書サービス」の証明書失効とCRL手動発行方法について紹介します。 ※この記事では、「Active Directory 証明書サービス」をADCS、「Certificate Revocation List」をCRLと表現します。 なお、ADCSの構築や配布については別途記事にしていますので、併せてご覧ください。 「Active Directory 証明書サービス」構築の流れ - JBS Tech Blog 【ADCS】証明書テンプレート作成・発行・配布方法 - JBS Tech Blog 【ADCS】証明書の自動登録設定 - JBS Tech Blog CRL(=証明書失効リスト)とは 証明書失効と注意事項 証明書失効方法 CRL手動発行 まとめ CRL(=証明書失効リスト)とは CRLとは、何らかの理由で有効期限前に失効したデジタル証明書(
ADCS - エンタープライズCA と スタンドアロンCAの違い
証明機関です。 何を証明する期間なのかというと、発行された証明書の情報を証明するものと認識していただければ問題ありません。 機能として証明書を発行することも可能です。 用途としてクライアント証明書や、内部アプリケーションへのゲートウェイやプロキシの証明書を発行することがあります。 選択できる CA の違い AD CSって何をするのは、上記に簡単に記載させてもらったので 構築することに選択できる、エンタープライズCAとスタンドアロンCAの違いを説明させてもらいます。 エンタープライズ CA とは Active Directoryと連携しDomain Serviceと統合された証明機関となります。 そのため、Actice Directoryが構築されており、Domain Serviceへアクセスできることが必須条件になります。 アクセスできることが必須条件なので、電源は落とさずにオンライン状態
Macを会社で使っているところがあるかもしれませんが、Windows Serverで構築したADCSの証明書を信頼しないという情報がありました。 こちら Macintosh does not trust certificate from ADCS 以下は質問の抜粋です。 === 2012 R2に基づく新しいADCSをセットアップし、オフラインルート証明書を使用するTier-2ソリューションを使用して、エンタープライズCAの動作に発行CAとOCSPがあります。現在のソリューションは、Windowsクライアントを使用して完全に機能します。非推奨以降、ハッシュにSHA-2を使用しましたが、今では問題が発生し始めています。また、Macintoshなどの非ドメインステーションでのみ使用できます。 Macintoshのキーチェーンでは証明書が信頼できないというメッセージが表示されるため、RADIUS認
同じフォレスト、ドメイン内に複数のADCS 認証局を構築できるかということが気になったので調べてみたところ、問題なく構築できそうということが分かりました。 基本的に企業の同一フォレスト、ドメイン内に複数のADCS ルートCA局を構築することは少ないと思いますが、検証などで複数構築したいケースもあるかと思います。 どうして複数のCA局を構築しても問題がないかについて書かれています。 明確にするために、同じフォレストに複数のWindowsルートCAをインストールしてもまったく問題はありません。新しいPKIを展開し、準備が整うまで、ユーザーまたはコンピューターに証明書を発行しないようにすることができます。そして、これらすべてを行っている間、古いCAは、極端な偏見を持ってすぐに削除されるという事実に気付かずに動き続けます。 インストールする各Windows CAには、Active Director
ADCSですが、前回まででインストールと設定が完了しました。 次にActive Directoryを介して自動的に証明書を配布できるところまで設定していきましょう。 これには、テンプレートの作成とGPOの設定を組み合わせて対応する形となります。 まずは 証明機関設定ツールを開きます。 サーバーマネージャーのツールより証明機関を選びましょう。 証明機関ツールを起動したら、まずはCAのバックアップを行いましょう。 ルート証明書が壊れると、今後作成するすべての証明書に影響が及びます。 複数場所への保管、オフライン保管なども含めて証明書の秘密キーは無くさないように管理していくことが重要です。 証明書のバックアップはウィザードを進めていくだけで終わるので、そんなに難しくはありません。 バックアップ対象は秘密キーと証明書データベース、ログの全項目を選んでおきます。 バックアップの場所は、からのフォルダ
(WindowsServer2016)RADIUSサーバを構築してみた ① 〜ActiveDirectory証明機関(ADCS)のインストール・設定〜 : ITインフラに悩まされてる日常
ITインフラに悩まされてる日常 どうもミツシマです。 WindowsやMacの技術系ブログです。 検証した内容等を載せてます。 「GUIで出来ることはCUIで出来るはず」と信じて日々コマンド検証等しています。 どうもミツシマです。 今回ですが、今まで1度もやったことのないRADIUSサーバ(NPS)を構築・検証していきたいと思います。 ※複数回にまたがると思います。 最終的なイメージは以下のような感じです。 今回は準備として「ActiveDirectory証明機関(ADCS)」をインストールしていきたいと思います! やることとしては AD CSの機能追加AD CSの構成証明書の有効期限を10年に伸ばすコマンドを実行 〜AD CS インストール・設定〜インストール自体は簡単です。 サーバーマネージャーの機能追加よりインストールしていきます。 サーバーの役割より「ActiveDirectory
ADCSサーバーの構築
ここでは、Active Directory Certificate Services (以降、ADCS) サーバーの構築ステップを記載します。 Windows Server 2019のADCSはSCEP (Simple Certificate Enrollment Protocol) に対応しています。 Windows Server 2019のActive Directoryを利用して認証を行う設定をしている場合、このサーバーをCertification Authority (認証局) として設定し、SCEPサーバーとしての設定も行うことで、ユーザー認証と同時にクライアント証明書を発行することができます。 下記のスクリーンショットは、Windows Server 2012R2のものですが、Windows Server 2019でもほぼ同じです。 (Windows Server 2019のス
ADCS カテゴリーの記事一覧 - ()のブログ
先日お伝えしたADFS用の証明書作成の方法ですが、IISを使い、要求を作成してからWeb登録機能を用いて発行を行うというサポートツールをふんだんに利用した方法となっていました。 http://mitomoha.hatenablog.com/entry/2019/08/20/011035 実は、これらの対…
先日お伝えしたADFS用の証明書作成の方法ですが、IISを使い、要求を作成してからWeb登録機能を用いて発行を行うというサポートツールをふんだんに利用した方法となっていました。 http://mitomoha.hatenablog.com/entry/2019/08/20/011035 実は、これらの対応はCUIを利用すればIIS、Web登録を利用しなくても実行できるということを最近知りました。 今回はその方法を連携していきたいと思います。 以下を実施前に前回もお伝えしていますが、以下のコマンドで別名を付けられるようにしておきましょう。 certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2 追加したら証明機関の再起動が必要です。 net stop certsvc net start certsvc 以下のサイトを
同じフォレスト、ドメイン内に複数のADCS 認証局を構築できるかということが気になったので調べてみたところ、問題なく構築できそうということが分かりました。 基本的に企業の同一フォレスト、ドメイン内に複数のADCS ルートCA局を構築することは少ないと思いますが、検証などで複数構築したいケースもあるかと思います。 どうして複数のCA局を構築しても問題がないかについて書かれています。 明確にするために、同じフォレストに複数のWindowsルートCAをインストールしてもまったく問題はありません。新しいPKIを展開し、準備が整うまで、ユーザーまたはコンピューターに証明書を発行しないようにすることができます。そして、これらすべてを行っている間、古いCAは、極端な偏見を持ってすぐに削除されるという事実に気付かずに動き続けます。 インストールする各Windows CAには、Active Director
Windows Serverに認証局を立てるところまで、前回のケースで説明させていただきました。 通常のクライアント証明書を用意するところまでであればこの形で対応がすむのですが、サーバー証明書で別名をもったり ワイルドカード証明書を出力したりといったケースでは、Web登録機能を利用するのが便利です。 というわけで、ADCSのWeb登録機能を用意しましょう。 実はADFSを組むにあたって、別名を持った証明書が必要になることがわかり、急きょ作成したのは秘密です。笑 とはいえ、PKIの要となる証明機関とユーザーが触りに来るWeb登録機能を同一のサーバーで賄うのは少し抵抗もあるため、別のサーバーで準備する手法を紹介します。 まずは用途が近しいサーバーに機能を追加するところから始まります。 今回はADFSになる予定のサーバーに導入してみました。 役割と機能の追加ウィザードを起動しましょう。 続いてい
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【ADCS】証明書の自動登録設定 - JBS Tech Blog
Windows Server ADCSの設定 - ()のブログ
ADCS(Microsoft CA局)の冗長化、負荷分散設計について - CAFE BREAK
【ADCS】証明書テンプレート作成・発行・配布方法 - JBS Tech Blog
【ADCS】証明書失効・CRL手動発行方法 - JBS Tech Blog
MacがADCSの証明書を信頼しない - よろづやアンテナ
同じフォレスト、ドメイン内に複数のADCS ルートCA局を構築可能? - ITよろづや
Windows Server ADCSの証明書自動配布設定 - ()のブログ
ADCSをコマンドプロンプトで利用してみました - ()のブログ
同じフォレスト、ドメイン内に複数のADCS ルートCA局を構築可能? - CAFE BREAK
Windows ADCS 証明書Web登録機能の追加について - ()のブログ