第 4 章: ネットワーク証明機関を構築する
公開日: 2004年9月7日
トピック
概要
章の前提条件
実装の準備をする
インストール準備が完了していることを確認する
証明書サービスをインストールする
CA を設定する
要約
参照情報
概要
この章では、Microsoft® Windows Server 2003 証明書サービスをインストールおよび構成する手順を説明します。証明書サービスは、Windows Server 2003 のオプション コンポーネントなので、既定ではインストールされません。
証明書サービスがインストールされたサーバーのことを証明機関 (CA) と呼びます。「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」ソリューションを構築するために必要な CA は 1 つだけです。CA は、インターネット認証サービス (IAS) サーバーに証明書を発行します (IAS サーバーについては以降の各章で説明します)。
この章の目的は、きわめて単純で特殊な目的の CA を提供することです。大半の CA と違って、この CA は、1 種類の証明書、すなわち、このソリューションで使用する IAS サーバー用のサーバー証明書だけを発行するために使用します。このため、インストール、構成、および管理がきわめて簡単に行えるように設計されています。したがって、将来、IPSec や VPN といった、他の目的にも証明書を使用する計画がある場合は、より堅牢な公開キー インフラストラクチャ (PKI) アーキテクチャの構築を検討することをお勧めします。詳細は、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」で参照している計画用資料を参照してください。
この章で提供する情報は、CA の実装手順だけに限定されます。CA のインストールに必要な最低限の情報は提供しますが、PKI の概要や Microsoft 証明書サービスの具体的な実装については説明しません。また、この CA を使用して、IAS 用のサーバー証明書以外の証明書を発行する方法についても説明しません。
この章では、ご使用の環境に PKI が構築されていないことを前提としています。PKI を既に構築している場合は、この章で説明する CA をインストールしなくても、ご使用の環境から IAS サーバーに証明書を発行できます。ただし、その方法、および、この CA を既存の PKI にインストールする方法は、このソリューションの範囲外です。
自分で CA をインストールする代わりに、VeriSign や Thawte といった民間の CA から証明書を取得することもできます。自分で CA をインストールする方法と外部のプロバイダから証明書を購入する方法については、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の「IAS サーバー用の証明書を取得する」で、それぞれの利点を比較検討しています。この章では、民間の CA から証明書を取得して使用する方法については一切触れません。章の最後に、民間の CA から証明書を取得して使用する方法について解説したマイクロソフトの参考資料を紹介してありますので、そちらを参照してください。
ページのトップへ
章の前提条件
この章を読むには、「第 3 章: 環境を準備する」に挙げた前提条件に加えて、証明書サービスと PKI の概念を理解しておく必要があります (ただし、詳細な知識は必要ありません)。
この章で説明する手順に従って実装を開始する前に、「第 3 章: 環境を準備する」で提示したガイダンスを読み、実装しておいてください。また、「第 2 章: ワイヤレス LAN のセキュリティの実装を計画する」の設計および計画情報にも目を通し、このソリューションのアーキテクチャと設計を充分に理解しておく必要があります。
ページのトップへ
実装の準備をする
必要なアクセス許可
この章の手順を実行するには、以下のグループに所属するメンバのアカウントでログオンする必要があります。
既定ではフォレスト ルート ドメイン (フォレスト内で最初に作成されたドメイン) のビルトインの管理者アカウントが上記の 2 つのグループのメンバになっていますが、これ以外のアカウントでも、これらのグループのメンバであれば使用できます。
注: CA をフォレスト ルート ドメインにインストールしない場合でも、そのフォレストが Windows 2000 Active Directory のフォレスト (または Windows 2000 Active Directory からアップグレードされたフォレスト) であるときは、インストールに使用するアカウントは、フォレスト ルート ドメインのメンバでなければなりません。
必要なツール
この章の手順を実行するには、以下のツールが必要です。
表 4.1: CA の構築およびインストールに必要なツール
| MSS Secure WLAN Tools |
このソリューションで提供されるスクリプトおよびツールのセット |
第 3 章に記述されているインストール手順。 |
| グループ ポリシー管理コンソール (GPMC) |
グループ ポリシー オブジェクト (GPO) をインポートおよびエクスポートするための高度な管理ツール |
第 3 章に記述されているインストール手順。
マイクロソフトのサイトからダウンロードできます。 |
| CAPICOM |
証明書とセキュリティ運用のスクリプトを作成するためのシステム ライブラリ |
第 3 章に記述されているインストール手順。
マイクロソフトのサイトからダウンロードできます。 |
| DSACLs.exe |
Active Directory オブジェクトへのアクセス許可の設定を可能にするコマンド ライン ツール |
第 3 章に記述されているインストール手順。
Windows Server 2003 配布 CD に収録されています。 |
| Active Directory ユーザーとコンピュータ |
Active Directory のユーザー、グループ、コンピュータ、およびその他の Active Directory オブジェクトを管理するための Microsoft 管理コンソール (MMC) ツール |
Windows Server 2003 の一部としてインストールされます。 |
| 証明機関管理ツール |
CA を管理するための MMC ツール |
Windows Server 2003 上の証明書サービスの一部としてインストールされます。 |
#### 証明機関パラメータ
以下の表は、このソリューションで CA のインストールと構成に使用されるパラメータの一覧です。これらのパラメータはすべて、PKIparams.vbs スクリプト ファイルに設定され、必要に応じて変更できます。
**表 4.2: ソリューションで使用される CA 設定**
| 証明書サービス要求ファイルのドライブおよびパス |
C:\CAConfig |
| CA キーの長さ |
2048 ビット |
| CA 証明書の有効期間 |
25 年 |
| CA から発行された証明書の有効期間 |
2 年 |
| CA における CRL 発行間隔 |
7 日 |
| CRL 重複期間 (新しい CRL が発行されてから古い CRL が失効するまでの期間) |
4 日 |
| Delta - CRL 公開無効 |
0 |
| CA で使用可能な証明書テンプレート |
コンピュータ (マシン) |
**注:** CA の有効期間は、CA 証明書を定期的に再発行するための管理のオーバーヘッドをなくすために、大きな値に設定してあります。コンピュータやユーザーに対して発行される証明書と違って、CA 証明書は自動的に更新されません。このため、期限切れになる前に CA 証明書を再発行しないと、CA によって発行されたすべての証明書が無効になってしまいます。
**重要:** 上の表に示した設定はこのソリューションの内部テスト用に使用されたもので、目的どおりに動作することがわかっています。これらのパラメータ値の多くは変更できますが、変更する場合は、その設定値の目的とそれを変更したときの影響を充分に理解したうえで行ってください。
[](#mainsection)[ページのトップへ](#mainsection)
### インストール準備が完了していることを確認する
サーバー上に証明書サービスをインストールする前に、ドメインがアクセス可能であること、および必要なツールがインストールされていることを確認する必要があります。
**CA をインストールする前にサーバーを確認するには**
1. CA をインストールする先のサーバーおよび IAS サーバーの最初のインスタンスに、適切な管理アクセス許可を持つアカウントを使用してログオンします。
2. \[MSS WLAN Tools\] ショートカットをクリックしてコマンド シェルを開き、コマンド プロンプトで次のように入力します。
MSSSetup CheckIASEnvironment
CA のインストール先ドメインの名前が識別名 (DN) 形式 (たとえば、dc=Treyresearch, dc=net) で表示されます。これは、ドメイン ネーム システム (Treyresearch.net) 形式に相当します。
3. ドメイン名が正しい場合は、\[OK\] をクリックします。ドメイン名が間違っている場合は、\[キャンセル\] をクリックし、正しいドメインにログオンしてから、手順 1 と 2 を繰り返します。
スクリプトは、以下の点をチェックします。
- Active Directory ドメイン コントローラがアクセス可能であること。
- CAPICOM がインストールされていること。
- GPMC がインストールされていること。
- DSACLs.exe がインストールされており、アクセス可能であること。
問題が検出されると、エラーがスクリプト コンソール ウィンドウに出力されます。エラーの原因を調査し修正してから、処理を継続してください。
[](#mainsection)[ページのトップへ](#mainsection)
### 証明書サービスをインストールする
ここでは、CA を作成するために証明書サービスをインストールする方法について説明します。CA はエンタープライズのルート CA としてインストールされます。
#### 証明書サービスのソフトウェア コンポーネントをインストールする
CA ソフトウェア コンポーネントをインストールするには、提供されているスクリプトを使用する必要があります。このスクリプトは、Windows オプション コンポーネント マネージャを使用して CA をインストールします。これにより、すべての必要な構成ファイルが作成されます。インストールを実行するには、Windows Server 2003 インストール CD (または、Windows インストール ソースへのネットワーク パス) を使用します。
**注意:** CA を以前にインストールしている場合、または再インストールする場合は、最初にインストール済みの CA を削除する必要があります。CA を削除する前に、必ず他のアプリケーションが CA を使用していないことを確認してください。
\[コントロール パネル\] の \[プログラムの追加と削除\] で、\[Windows コンポーネントの追加と削除\] をクリックして、証明書サービスを削除します。
**証明書サービスをインストールするには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. コマンド プロンプトで、次のように入力して証明書サービス ソフトウェア コンポーネントをインストールします。
「MSSsetup InstallCA」と入力して、**Enter** キーを押します。
3. プロンプトが表示されたら、CA の名前を入力します。
組織内で一意な、わかりやすい名前にしてください (例: Trey Research Network CA)。
4. \[OK\] をクリックして名前を確定します。
名前を変更する場合は、\[いいえ\] をクリックします。
インストールを中止するには、\[キャンセル\] をクリックします。
インストール パラメータ ファイルの作成が開始されます。作成処理が終了すると、インストールを継続するかどうかが確認されます。
5. インストール処理を続ける場合は \[OK\] を、中止する場合は \[キャンセル\] をクリックします。
**注:** ここでインストールをキャンセルすると、構成ファイル CAPolicy.inf とオプションのコンポーネント パラメータ ファイル OC\_CertSrv.txt が、それぞれ Windows フォルダと現在の作業フォルダに残されたままになります。ソリューションの既定値を使用しない場合は、これらのファイルを編集して、カスタム インストールで使用できます。
6. インストールの完了を知らせる確認メッセージが表示されたら、\[OK\] をクリックします。
#### CA のインストールを確認する
証明書サービスが正常にインストールされたことを確認するには、次の手順を実行します。
**CA が正しくインストールされたことを確認するには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. コマンド プロンプトで次のとおりに入力します。
「MSSsetup VerifyCAInstall」と入力して、**Enter** キーを押します。
証明書ビューアに、CA 証明書が表示されます。
3. \[CA 証明書\] の \[全般\] タブをクリックし、表示された値が次の表の内容と一致しているか確認してください。
**表 4.3: CA 証明書のプロパティ**
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >証明書の属性</th>
<th style="border:1px solid black;" >必要な設定</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">発行先</td>
<td style="border:1px solid black;">インストール時に入力した CA の名前</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">発行元</td>
<td style="border:1px solid black;">インストール時に入力した CA の名前</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">有効期限</td>
<td style="border:1px solid black;">25 年</td>
</tr>
</tbody>
</table>
[証明のパス] タブをクリックし、証明書のパス フィールドに証明書が 1 つだけ表示されていることを確認します。証明書状態には、「この証明書は問題ありません」と表示されていなければなりません。
[OK] をクリックして証明書ビューアを閉じます。
上記の値の一部が予想と異なっていた場合は、証明書サービスのインストールをやり直してください。
注: CA のインストールをやり直す場合は、前述したように、あらかじめインストール済みの証明サービスを削除する必要があります。
ページのトップへ
CA を設定する
CA をインストールしたら、さらにいくつかスクリプトを実行して、残りの CA パラメータを設定します。
CA プロパティを設定する
この手順では、CA の動作方法を制御するパラメータを設定します。これらのパラメータの中には、CA のインストール時に設定されるものと、インストール後に手動で設定する必要があるものがあります。これらのパラメータの値は、この章の最初の「証明機関パラメータ」に記載されています。この手順で使用するスクリプトは、次の表に示すとおりに、CA プロパティを構成します。
表 4.4: CA 構成プロパティ
| CRL 配布ポイント (CDP) URL |
最新の証明書失効リスト (CRL) の入手先を指定します。このソリューションでは、Lightweight Directory Access Protocol (LDAP) の URL だけを使用します。Active Directory に公開された CRL への LDAP パスが格納されます。 |
| 機関情報アクセス (AIA) URL |
CA 証明書の取得先を示します。CDP と同様、Active Directory を指す LDAP URL だけを使用します。 |
| 有効期間 |
発行された証明書に対する最長の有効期限を示します (これは、インストール時に設定される、証明書自体の有効期限とは異なります)。 |
| CRL 期限 |
CRL の公開の頻度を示します。 |
| CRL オーバーラップ タイム |
新しい CRL が発行されてから古い CRL が失効するまでの重複期間を示します。 |
| Delta - CRL 期限 |
Delta-CRL の公開の頻度を示します (この CA では、Delta-CRL は無効になっています)。 |
| CA Auditors |
CA 監査設定を示します (既定では、すべての監査が有効になります)。 |
**注:** これらのパラメータの大半は、CA の URL の設定に影響します。CRL は、CA によって発行されたものの、その後、管理者によって取り消された (無効にされた) 証明書のリストです。このソリューションを管理する際に、証明書を無効にする必要が生じることはまずありませんが、大半のアプリケーションは、証明書の失効状態をチェックするために最新の CRL を (たとえ空であっても) 読むことができることを想定しています。そうしたアプリケーションは、CRL を見つけることができないと、その証明書を拒否する場合があります。
**CA プロパティを設定するには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. コマンド プロンプトで、次のコマンドを入力して、CA コンポーネントを設定します。
「MSSsetup ConfigureCA」と入力して、**Enter** キーを押します。
設定中、スクリプトは 20 秒ほど停止して、CA の設定が完了するのを待ちます。これを通知するポップアップ メッセージに応答する必要はありません。
3. \[OK\] をクリックして、メッセージ ボックスを閉じます。
スクリプトによってエラーが報告された場合は、ログ ファイル (%systemroot%\\debug\\MSSWLAN-Setup.log) を追跡して原因を調査し、問題を修正してから設定スクリプトを再実行してください。
**注:** この設定スクリプトは、必要なだけ何度でも実行できます。
#### 自動証明書要求 GPO をインポートする
この手順では、ドメイン内の IAS サーバーに対する証明書を自動発行できるように事前構成された、IAS 証明書自動登録ポリシー GPO をインポートします。自動証明書要求サービス (ACRS) と呼ばれる機能を使用します。
ACRS を、Windows Server 2003, Enterprise Edition の自動登録機能と混同しないでください。両者は、同じような機能を実行しますが、異なるサービスです。ACRS は、Windows 2000で最初に導入された機能で、自動登録よりも限定されたサービスです。ACRS では、コンピュータ (ユーザーではない) の証明書の登録だけが可能で、バージョン 1 の証明書テンプレートしか使用できません。それでも、証明書の使い方が限定されているこのソリューションでは、ACRS で充分です。また、ACRS を使用することで、より安価な、Windows Server 2003, Standard Edition に CA をインストールすることができます。
**重要:** Active Directory フォレスト内に複数のドメインが存在する場合は、IAS サーバーをインストールするドメインごとに、この手順を繰り返す必要があります。
以下の手順で使用するスクリプトは、証明書を自動登録するポリシーで事前構成された GPO をインポートします。この GPO には、登録タイプとして、「コンピュータ」証明書タイプが事前に設定されています。次に、スクリプトは、GPO にセキュリティ アクセス許可を適用して、RAS および IAS サーバー グループのメンバだけに適用対象を限定します (既定の設定では、認証済みのすべてのユーザーとコンピュータに GPO が適用されます)。
**注:** コンピュータ証明書テンプレートは、場合によっては、マシン テンプレートと呼ばれることもあります。「マシン」とはテンプレートの内部名であり、「コンピュータ」はその表示名です。
**自動証明書要求 GPO をドメインにインストールするには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. コマンド プロンプトで、次のように入力して、IAS 証明書自動登録ポリシー GPO をドメインにインポートします。
「MSSsetup ImportAutoenrollGPO」と入力して、**Enter** キーを押します。
次に、この GPO をドメインにリンクして、GPO の設定が IAS サーバーに適用されるようにする必要があります。この手順は、GPO へのリンク処理を制御できるように、手動で実行してください。この手順を自動化すると、ドメイン内の既存の GPO を上書きしてしまう危険性があります。
**自動証明書要求 GPO を適用するには**
1. \[スタート\]、\[すべてのプログラム\]、\[管理ツール\]、\[グループ ポリシーの管理\] の順にクリックして、\[GPMC\] を起動します。
2. \[GPMC\] 画面の左側ペインで、ドメインに対応するドメイン オブジェクトに移動します。
ドメイン オブジェクトは、ドメインの DNS 名と同じ名前で、トップレベルの Domains コンテナの下にあります。
3. 目的のドメイン オブジェクトを右クリックし、\[既存のGPO のリンク\] を選択します。
4. GPO の一覧から、\[IAS Certificate AutoEnrollment Policy\] を選択します。
5. \[OK\] をクリックして、GPMC のメイン画面に戻ります。
6. 右ペインで、\[リンクされたグループ ポリシー オブジェクト\] タブをクリックし、\[IAS Certificate AutoEnrollment Policy\] GPO を選択します。
7. GPMC を閉じます。
自動証明書要求設定がサーバーに適用されるのは、サーバーが、RAS および IAS サーバー グループにメンバとして追加された後です。これについては、次章の手順で説明します。
**重要:** ドメインが混在モードで、IAS を (ドメイン コントローラではなく) メンバ サーバーにインストールする場合、RAS および IAS サーバー ローカル グループは、メンバ サーバーからは見えません。このため、これらのサーバーには ACRS GPO が適用されず、これらのサーバーの証明書登録は中止されます。これを避けるには、まずドメイン グローバル グループを作成し、このグループに IAS メンバ サーバー アカウントを追加してから、このグループを GPO アクセス制御リスト (ACL) に追加して、「適用」および「読み取り」アクセス許可を与えます。
#### CA の構成を確認する
以下の手順に従って、CA が正しく構成されたことを確認します。スクリプトは以下の点を確認します。
- 発行される証明書に正しい有効期間が設定されていること。
- CRL 公開期間が正しいこと。
- CA にコンピュータ証明書テンプレートが割り当てられていること。
- 自動証明書要求 (自動登録) GPO がドメイン内に正しくインポートされていること。
これらの値は、PKIParams.vbs ファイルに格納された設定と照合されます。ただし、スクリプトは値そのものをチェックするわけではありません。設定が CA に正しく構成されているかどうかをチェックするだけです。
**CA の構成を確認するには**
1. \[MSS WLAN Tools\] ショートカットを使用して、コマンド シェルを開きます。
2. コマンド プロンプトで、次のコマンドを入力して、CA コンポーネントを設定します。
「MSSsetup VerifyCAConfig」と入力して、**Enter** キーを押します。
スクリプトの出力にエラーが表示されたら、この章の手順を再実行して、問題点を修正してください。
[](#mainsection)[ページのトップへ](#mainsection)
### 要約
この章では、サーバー証明書を IAS サーバーに発行するための特殊な目的の CA のインストール手順を説明しました。この CA 構成は保守が容易になるように設計されているため、将来的な管理作業が最小限で済みます。運用およびサポート情報が必要な場合は、「第 8 章: セキュリティ保護されたワイヤレス LAN ソリューションを維持する」を参照してください。
これで、IAS サーバーをインストールする準備が整いました。IAS サーバーのインストールについては、「第 5 章: ワイヤレス LAN のセキュリティ インフラストラクチャを構築する」を参照してください。
[](#mainsection)[ページのトップへ](#mainsection)
### 参照情報
ここでは、この章の内容に関連する重要な補足情報やその他の参考資料を紹介します。
- PKI の概念と Windows 2000 証明書サービスの機能の基本的な説明については、次の URL にあるホワイトペーパー「Windows 2000 の公開キー基盤の概要」を参照してください。