Windows Server 2008 R2 Standard(以下Win2008R2とします)にて自動更新が可能なVersion 2以降の証明書テンプレートが利用できることが分かったところで、実際に証明書の自動更新が可能な環境を作ってみます。
尚、前提条件として
- Active DirectoryスキーマがWin2008となっている
- Active Directory証明書サービス(エンタープライズのルート)がインストール済み
AD証明書サービスのベストプラクティスアナライザーでスキャン
最初にWin2008R2のサーバーマネージャーで「役割」→「Active Directory証明書サービス」をクリックし、「ベストプラクティスアナライザー」で「この役割をスキャン」をクリックします。
その結果、
- 「ユーザー自動登録のグループポリシーが有効になっていません」
- 「コンピューター自動登録のグループポリシーが有効になっていません」
対応方法としては、「AD CS: User autoenrollment should be enabled when an enterprise CA is installed」に記載されています。
その手順の概要は、
- デフォルトドメインポリシーで公開鍵の自動更新を有効にする
(「ユーザーの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」の「証明書サービス クライアント - 自動登録」で「構成モデル」を有効にする) - 自動更新用に証明書テンプレートを設定
(「ユーザー」テンプレートの複製を適当な名前で複製します。その際、「セキュリティー」タブで「Domain Users」に「読み取り」と「自動更新」、「登録」の権限を設定しておきます。) - エンタープライズCAに証明書テンプレートをアサインする
(certserv.mscを起動し「証明書テンプレート」のコンテキストメニューで「新規作成」→「発行する証明書テンプレート」→2で作成したテンプレートを選択す・・・???)
と(赤はこちらでいれたものです)。マイクロソフト内でも認識が統一されていないのか、相変わらず「R2 StandardではV2、V3の証明書テンプレートはCAに追加できないよ」と記載されています。I cannot add a new version 2 or version 3 certificate template to my CA.
- Cause: The CA is installed on a server running Windows Server 2008 R2 Standard or Windows Server 2008 Standard. Version 2 and version 3 certificate templates and certificate autoenrollment can only be used with CAs installed on Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise, or Windows Server 2008 Datacenter.
- Solution: Upgrade to Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Enterprise, or Windows Server 2008 Datacenter.
で、さらに調べたところ「You cannot add V2 or V3 templates after an inplace upgrade was performed using Windows Server 2008 enterprise CA」では、
-Symptom
V2 and V3 templates are not available if an inplace upgrade was performed from a Windows Server 2003 or 2008 Certification Authority (CA) to a Windows Server 2008 enterprise CA.
-Cause
The enterprise features are missing because the underlying SKU is standard.
-Solution
To fix the problem, follow these steps:
1. Close the Certificate Services MMC snap-in.
2. Run the following commands from an elevated command-line on the CA computer:
certutil -setreg ca\setupstatus +512
net stop certsvc
net start certsvc
When you re-open the Certificate Services MMC snap-in, you will be able to assign V1, V2 and V3 certificate templates to the certification authority.
まさに、今現象に今ぶち当たっているわけで、該当するサーバーはWin2008StandardからR2へアップグレードしたものでした。
というわけで、記載の通り対処したところ、めでたく2で作成した証明書テンプレートが一覧に表示されるようになりました。
0 件のコメント:
コメントを投稿