Windows Server認証局の構成

ウィンドウ・サーバーでADCSを構成する方法を学習します。

HSMクラスタに秘密キーを格納するように認証局(CA)を構成する必要があります。この構成では、最初に Active Directory証明書サービス(ADCS)役割を Windowsサーバーに追加する必要があります。ADCSロールを追加した後、キー・ストレージ・プロバイダ(KSP)を使用して、HSMクラスタでCAの秘密キーを作成および管理できます。KSPは、Windows ServerをHSMクラスタに接続するインタフェースです。

前提条件

HSMクラスタを使用して Windows Serverを認証局(CA)として設定するには、次の前提条件が必要です。
  • アクティブなHSMクラスタ。
  • Windows Server OSで実行されているOCI専用KMSクライアント・サービス。
  • クラスタ上のマネージャ認証局の秘密鍵に対する暗号化ユーザー(CU)アカウント。

Active Directory証明書サービスロールの追加

Windows Server CAを作成するには、まず Active Directory証明書サービス(ADCS)役割を Windowsサーバーに追加する必要があります。ADCSロールを使用すると、KSPプロバイダを使用して、CAの秘密キーをクラスタに作成および格納できます。

  1. Windowsの「スタート」メニューから、「Windows Server」に移動し、「Server Manager」を起動します。
  2. 右上隅にある「管理」をクリックし、「ロールおよび機能の追加」を選択します。
  3. 「開始する前に」ページで、情報を読んで「次」をクリックします。
  4. 「インストールの種類の選択」ページで、「役割ベースまたは機能ベースのインストール」を選択し、「次へ」をクリックします。
  5. 「宛先サーバーの選択」ページで、「サーバー・プールからサーバーを選択」「次へ」の順に選択します。
  6. 「サーバー・ロールの選択」ページで、次を選択して「次へ」をクリックします。
    • Active Directory証明書サービス
    • 機能の追加
  7. 「Active Directory証明書サービス」ページで、「次へ」をクリックします。「ロール・サービス」ページで、次を選択します。
    • 「認証局」を選択します。
  8. 「インストールの選択内容の確認」ページで詳細を確認し、「インストール」をクリックします。
  9. インストールが完了したら、「宛先サーバーでのActive Directory証明書サービスの構成」リンクをクリックします。
  10. 「資格証明」ページで、資格証明を確認または変更し、「次へ」をクリックします。
  11. 「ロール・サービス」ページで、「証明機関」を選択して「次へ」をクリックします。
  12. 「設定タイプ」ページで、「スタンドアロンCA」を選択し、「次へ」をクリックします。
  13. 「CAタイプ」ページで、「ルートCA」を選択して「次へ」をクリックします。
  14. 「秘密キー」ページで、「新しい秘密キーを作成する」を選択して「次へ」をクリックします。
  15. 「Cryptography」ページで、次のオプションを指定し、「Next」をクリックします。
    • 暗号化プロバイダの選択: 「Cavium Key Storage Provider」を選択します。
    • キー長: キー長オプションのいずれかを選択します。
    • このCAによって発行された署名証明書のハッシュ・アルゴリズムの選択: ハッシュ・アルゴリズムを選択します。
  16. 「CA名」ページで、次の詳細を指定して「次へ」をクリックします。
    • 共通名
    • 「識別名のサフィックス」。
    • 識別名のプレビュー。
  17. 「有効期間」ページで、有効期間(年、月、週または日)を入力し、「次」をクリックします
  18. 「証明書データベース」ページで、証明書およびログの場所を指定し、「次へ」をクリックします。
  19. 「構成」ページで、「構成」をクリックします。
  20. 「結果」ページで、「閉じる」をクリックします。
    ノート

    コマンドラインからsc query certsvcを実行して、CAが正しくインストールされているかどうかを確認できます。

Windows Server CAを使用したCSRの署名

WindowsサーバーCAを使用してCSRに署名する方法を学習します。

Windowsサーバーの認証局(CA)をHSMクラスタとともに使用して、証明書署名リクエスト(CSR)に署名します。

このタスクを完了するには、有効な証明書署名リクエスト(CSR)が必要です。次のいずれかの方法でCSRを作成します。

  • SSLを開く
  • Windows Server Internet Information Services (IIS) Manager
  • Windows CLI (certreqユーティリティを使用)

WindowsサーバーCAでCSRに署名するには、次の手順を実行します。

  1. Windowsサーバーに接続し、Windows Server Managerを起動します。
  2. Server Managerダッシュボードで、「ツール」をクリックします。
  3. 「認証局」をクリックします。
  4. 「証明機関」ページで、次の手順を実行します。
    1. 「処理」メニューを開き、「すべてのタスク」「新規要求の発行」の順に選択します。
    2. CSRファイルを選択し、「オープン」をクリックします。
    3. 「認証局」ウィンドウで、「保留中要求」を選択し、保留中の要求を選択します。
    4. 「アクション」メニューから、「すべてのタスク」「問題」の順に選択します。
    5. 「認証局」ウィンドウで、「発行済リクエスト」を選択して署名付き証明書を表示します。
  5. オプションです。署名付き証明書をエクスポートするには、次を実行します。
    1. 「認証局」ウィンドウで、証明書を選択します。
    2. 「詳細」タブを選択し、「ファイルにコピー」を選択します。
    3. 証明書エクスポート・ウィザードの手順を実行します。
  6. 閉じる」をクリックします。