Active Directory の管理配下でWindows証明書サービス(Windows Server 2012 R2)が動作している環境の場合、以下を確認・設定してください。
該当しない場合は設定不要です。
※マニュアルに記載されているメニュー名などは、端末やバージョンによって異なる場合があります。
Windows証明書サービス機能追加コンポーネント
サーバーマネージャーの「役割と機能の追加」からActive Directory 証明書サービス(証明書機関、ネットワークデバイス登録サービス)とIISを追加し、証明書発行機関としての設定を適切に行ってください。
クエリ文字列数制限緩和
① 「Windowsツール(管理ツール)」より、「インターネットインフォメーションサービス(IIS)マネージャー」を選択してください。
※管理ツールにIISマネージャーが表示されない場合、「Windowsの機能の有効化または無効化」から「インターネットインフォメーションサービス」を有効にする必要があります。
② 左のメニューから「Default Web Site」>「CertSrv」の順に選択します。
③ 画面中央に表示される「要求フィルター」から、「クエリ文字列」のタブを開きます。
④ 右のメニューから「機能設定の編集」を選択し、下記のように設定します。
- URLの最大長:8192
- クエリ文字列の最大長:4096
認証方式の変更
① 「インターネットインフォメーションサービス(IIS)マネージャー」の左メニュー「Default Web Site」>「CertSrv」を選択し、中央メニューから「認証」を選択します。
② 認証方式を以下のように変更してください。認証方式を選択後、右メニューから有効/無効を切り替えられます。
- Windows認証:無効
- 匿名認証:有効
③ 次に「CertSrv」下の「mscep_admin」を選択し、中央メニューの「認証」から認証方式を以下のように変更します。
- Windows認証:有効
- 匿名認証:無効
※現在の仕様(2023年4月時点)では、SeciossLinkからの証明書発行依頼は匿名認証で行われます。CA局へのアクセスは、IPアドレスで接続制限を行うことをおすすめします。
チャレンジパスワード認証設定の確認
① 以下のレジストリの値が「1」に設定されていることを確認してください。「0」に設定されている場合は「1」に変更してください。
② 設定した内容を反映するために、「IISマネージャー」から「アプリケーションプール」を開き、「SCEP」を右クリックします。
③ 表示されたメニューから、「停止」→「開始」の順に選択してください。
デフォルト証明書テンプレートの変更
SCEP は IPSec VPN 環境で広く使用されているため、 デフォルトで発行する証明書の種類が SCEP 用の「 IPSec(オフライン要求) テンプレート」を使用するように自動設定されます。
そのため、デフォルトで発行する証明書の種類を「クライアント証明書」に変更する必要があります。
本マニュアルでは、「IPSec(オフライン要求)」テンプレートを使って、クライアント証明書用のテンプレートを作成する方法を解説します。
■変更手順
① 「Windowsツール(管理ツール)」より、「証明機関」を選択してください。
② 左メニューの「証明書テンプレート」を右クリックし、表示されたメニューから「管理」を選択して「証明書テンプレートコンソール」を起動します。
③ 表示されているテンプレート一覧の「IPSec(オフライン要求)」を右クリックし、表示されたメニューから「テンプレートの複製」を選択してください。
④ プロパティ画面が表示されます。「全般」タブで、以下の項目を編集してください。
値は任意となりますが、本マニュアルでは例として下記のように設定します。
- テンプレート表示名:自動配布用(※任意のものに変更可能)
- テンプレート名:AutoCert(※任意のものに変更可能)
⑤ 次に「拡張機能」タブを表示し、「このテンプレートに含まれている拡張機能」に表示されている「アプリケーションポリシー」を選択した状態で、「編集」ボタンをクリックします。
⑥ 「追加」から、「クライアント認証」を追加してください。
⑦ 「証明書機関」コンソールに戻り、左メニューの「証明書テンプレート」を右クリックし「新規作成」>「発行する証明書テンプレート」から、先ほど作成したテンプレート(自動配布用)を追加してください。
デフォルト証明書テンプレートの有効化
① 以下のレジストリの値を、「デフォルト証明書テンプレートの変更」で作成した証明書テンプレート名(AutoCert)に変更してください。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEPGeneralPurposeTemplate
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyMSCEPSignatureTemplate
② 設定した内容を反映するために、「IISマネージャー」から「アプリケーションプール」を開き、「SCEP」を右クリックします。
③ 表示されたメニューから、「停止」→「開始」の順に選択してください。