Yubikeyを利用してActiveDirectory特権IDを保護する – 2

Facebook にシェア
Pocket

前回はスマートカード認証の説明とYubikey用ドライバのインストールまでを説明しました。
今回はサーバ側でスマートカードに登録する証明書のテンプレートの作成・発行手順について説明します。

2. スマートカード証明書テンプレートの作成・発行

スマートカード用の証明書はインストール直後の証明機関では扱えないため、テンプレートを作成・発行して利用できるようにする必要があります。
テンプレートはスマートカード証明書そのもののテンプレートと、スマートカード証明書を発行するための代理登録用テンプレートの2種類を発行します。
※ユーザー自身が証明書発行できるテンプレートも作成できますが、ここでは証明書発行権限を絞る代理登録の手法を取ります。

スマートカード証明書テンプレート

Yubikeyにインストールすることになる証明書です。
サーバ上で証明機関を開き、「証明書テンプレート」の項目を右クリックして「管理」を選択します。

証明書テンプレートコンソールが開くのでテンプレート一覧から「スマートカードログオン」を右クリックし、「テンプレートの複製」を選択します。

新規発行するテンプレートのプロパティが開きます。
「互換性」タブでサポートするOSバージョンを選択します。この際、選択するOSバージョンはそれぞれの最も古いOSバージョンを選択する必要があります。

「全般」タブでテンプレートの名称と有効期間を設定し、「ActiveDirectoryの証明書を発行する」にチェックを入れます。

「要求処理」タブで用途に「署名と暗号化」を選択し「サブジェクトが許可した対象アルゴリズムを含める」にチェックを入れます。
「同じキーで書き換え」及び「 スマートカード証明書の自動書き換えで、新しいキーを作成できない場合は既存のキーを使用する 」、「 登録中にユーザーにメッセージを表示する 」にもチェックを入れます。

「暗号化」タブで「プロバイダーのカテゴリ」にキー格納プロバイダーを、「アルゴリズム名」にRSA 2048を選択し、「以下のプロバイダーのうちいずれか一つ」を選択したうえで「Microsoft Smart Card Key Storage Provider」にチェックを入れます。
「ハッシュの要求」ではSHA256を選択します。

「発行の要件」タブで「次の数の認証署名」にチェックを入れ、「アプリケーションポリシー」に証明書の要求エージェントを選択します。

「セキュリティ」タブを開き、「Domain Admins」に読み取り/書き込み/登録の権限を付与します。
※具体的に登録者を絞りたい場合は別途セキュリティグループを作成してそのグループに権限を付与します。
最後に「OK」を選択し、スマートカード証明書テンプレートの作成は完了です。

代理登録エージェントテンプレート

スマートカード証明書を発行するためのテンプレートです。
サーバ上で証明機関を開き、「登録エージェント」の項目を右クリックして「管理」を選択します。

「全般」タブでテンプレートの名称と有効期間を設定します。

「セキュリティ」タブを開き、「Domain Admins」に読み取り/書き込み/登録の権限を付与します。
※具体的に登録者を絞りたい場合は別途セキュリティグループを作成してそのグループに権限を付与します。
最後に「OK」を選択し、スマートカード証明書テンプレートの作成は完了です。

テンプレートの発行

上記手順で作成したテンプレートを発行し、実際に利用できるようにします。
証明機関を開き、「証明書テンプレート」内で右クリックし、新規作成→発行する証明書テンプレートを選択します。

上記で作成したテンプレート2種を選択し、「OK」を選んでテンプレートを有効化します。

証明書テンプレートの有効化まででいったん区切ります。
証明書の発行以降は「Yubikeyを利用してActiveDirectory特権IDを保護する- 3」をご参照ください。

Facebook にシェア
Pocket