今日理解したことをメモ。
- スマートカードでログオンするためには以下の証明書が必要。
- ドメインコントローラーにドメインコントローラー証明書
- Configurationパーティション内のNTAuthにルート証明書
- クライアントの”信頼されたルート証明機関”にルート証明書
- クライアント側のスマートカード内にスマートカード証明書
ドメインコントローラー証明書
- ドメインコントローラー証明書はドメインコントローラーが自動登録の機能(AutoEnrollment)を使って自動的に取得しようとする。
- Enterprise CAがActive Directory内にあれば自動的に取得される。
- Windows Server 2003 SP1以降ではDCOMのセキュリティ設定の変更により、失敗することがある。
- その場合にはCERTSVC_DCOM_ACCESSグループにDomain Controllersグループを入れればよい。
- ただし、CERTSVC_DCOM_ACCESSグループ自体が存在しないことがある。その場合には「certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG」を実行したうえでcertsvcを再起動し、DCOMセキュリティ設定を更新すればよい。
- Windows Server 2003 Service Pack 1 のインストール後の DCOM セキュリティ設定の変更について
ルート証明書
- EnterpriseCAを構築すればNTAuthへの登録は自動的になされる
- サードパーティーのCAを使用するためにはNTAuthへ手動で登録しなくてはいけない。
- 信頼されたルート証明機関へのルート証明書の登録は通常通りに行えばいい。
- EnterpriseCAの場合には自動的に登録される
スマートカード証明書
- 管理者が他人のスマートカード証明書を取得するためには登録エージェント証明書が必要なので、事前に取得する。
- IISのCertSrvから「スマート カードの証明書登録ステーションを使用して、ほかのユーザー用のスマートカードの証明書を要求する。」が行える。
- IISのCertSrvが表示されない場合には、Active Server Pagesの有効化が必要。
参考URL
スマートカード認証をするときには以下のあたりのURLが参考になる
コメント