ささの備忘録

ITインフラSEの備忘録です ITインフラを中心に、 日々忘れないがちな事を、つぶやいていきます

2016

Windows Server 2016で証明機関を構築

こんにちは

最近、リモートから社内へ接続するときに、ユーザー認証だけではなく、端末認証もかけたいと、声をもらう事があります

今回は、端末認証を行う際、証明書を発行する為、Windows Server 2016で「プライベート認証局」を作ってみたいと思います

「プライベート認証局」とは、ブラウザなどにあらかじめルート証明書が組み込まれている「パブリック認証局」とは違い、社内だけなど限られた範囲で使用される、認証局です

Windows Server 2016で認証局を構築する

1.証明機関の役割をインストール
今回は、仮想環境で作成したWindows Server 2016ドメイン環境に、証明機関をインストールします
テスト環境ですので、DCと共存させます
証明機関の構成については、MSの推奨を見ると、階層構造のようですが、今回は、単純にリモート接続時の認証用に使用するだけですので、1階層で構築します
ad1

まず、「役割と機能の追加」から「Active Directory証明書サービス」にチェックを入れます
さらに、「役割サービス」で「証明機関」「証明機関Web登録」にチェックを入れ、
インストールします

2.証明機関の構成
役割のインストールが終わったら、構成を行います
資格情報はドメイン管理者で、そのまま次へ
ad2


構成する役割サービスを選択します。「証明機関」「証明機関Web登録」をチェックし次へ
ad3


CAは「エンタープライズCA」を選択します
ad4


1階層ですので、「ルートCA」を選択し次へ
ad5


ルート証明書用の「新しい秘密キーを作成する」を選択し次へ
ad6


暗号化オプションはそのままで、次へ
ad6

CAの名前はそのままで、次へ
ad8


有効機関はデフォルト5年ですので、ここはそのままでも、変えても良いです。次へ
ad9

データベースの場所はそのまま、次へ
ad10

構成をクリックします
ad11

以上で構成が完了です
ad12

次回は、サーバー証明書の発行をしてみたいと思います


『セキュアブート』を無効にしてみた

前回「UEFI」について書きました。

「UEFI」で追加された機能の中で、イマイチ理解していない『セキュアブート』について、今回非常に簡単にですが、試してみました

試した環境は、Windows Server 2012R2 Hyper-V上の、仮想ゲストです

Hyper-Vの仮想ゲストは、「UEFI」で動作します。
ただし、仮想ゲスト毎、UEFIの設定画面はなく、Hyper-Vマネージャ上の設定のみになります

secureboot1


セキュアブートの機能について試してみた

<内容>
セキュアブートに対応していないWindows7インストールメディアを使い、セキュアブートON・OFFして、インストールを試してみた

試し1.セキュアブートONして、Windows7のメディアよりインストール

secureboot2


結果、英語ででてますが、”セキュアブート検証が失敗”と表示されます
もちろん、このあと、インストール画面に遷移しません
secureboot3


試し2.セキュアブートOFFして、Windows7のメディアよりインストール

secureboot4



secureboot5

結果、問題なく、インストールが開始されました


これは、機能の一部だと思いますが、こんな感じで、勝手に起動させないような制限をかけます
例えば、CD起動のLinuxを使って、ディスク上のデータを勝手に読み出すようなことができなくなります。

セキュアブートに機能は、もっとたくさんあると思いますが、気がついた都度、確認して紹介していけたらと思います

ご参考になれば・・


スポンサードリンク
プロフィール

ささ

名前:ささ
関東地方に住む40代、子供2人と妻と猫とで暮す
主に「ITインフラ系」の構築に携わる。今の会社は転職の末、お世話になり早20数年。保有資格は、「ネスペ」「セスペ」など
最近、「ソロキャンプ」「DIY」を趣味にするため、いろいろと準備中