昨日の記事で、証明局をインストールするときの注意点を記載しました。
今日は、スタンドアロンCAでの証明書の作り方について、説明します。
内容としては、以下のサイトに今日記載する手順を記載していますので、手っ取り早く知りたい方は、以下をご覧ください。
http://blogs.technet.com/b/systemcenterjp/archive/2009/04/06/scom2007-windows-server-2008.aspx
http://technet.microsoft.com/ja-jp/library/dd362655.aspx
次に示す手順を、管理サーバーと、エージェントを入れる予定のPCに対して行います。
STEP1. 証明局のルート証明書をインポートする。
まずは、SCOMのインストールされている管理サーバーに対して、証明書をインストールします。
証明局のWEBページから、証明局のルート証明書を取得します。
PACS#7ファイルがダウンロードできますので、適当なところに保存します。
ダウンロードしたファイルを信頼されたルート証明機関ストアに登録します。
登録の仕方は、好みでかまわないと思いますが、私は、m mcから証明書(ローカルコンピューター)の画面からインポートするようにしています。
STEP2. 証明局に証明書を要求する
SCOMで使用する証明書を要求するためには、Certreqコマンドを使うのが楽だと思います。他にも方法はあるので、やりやすい方法を選ぶとよいかと思います。
SCOMで使用する証明書は、拡張キー使用法(Extended Key Usage)にサーバー認証とクライアント認証が必要です。(ということは、昨日言いましたね。)
要求を作成するために、ポリシー入力ファイルを作成する必要があります。
以下の内容を記載したテキストファイルを作ってください。名前に決まりはありませんが、拡張子はinfとするのが一般的です。ここでは、RequestConfig.infとしています。(上に紹介したサイトからの引用です。)
============RequestConfig.inf=============
[NewRequest]
Subject="CN=<証明書要求元のコンピューターのFQDN名>"
Exportable=TRUE
KeyLength=2048
KeySpec=1
KeyUsage=0xf0
MachineKeySet=TRUE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
============RequestConfig.inf=============
ポリシー入力ファイルについては、どこかのサイトに詳しく説明してないかなぁ・・・と思って調べたら、どこにもないや・・・読めば、だいたいわかるよねっ と自己完結したところで、次いきましょう。
作ったテキストから、要求コードを作成します。コマンドプロンプトから、以下のコマンドを実行します。(もちろん、カレントディレクトリは移動してくださいね)
Certreq –new –f RequestConfig.inf Certreq.req
Certreq.reqが作成できました。できたファイルをテキストエディタで開くと、要求コードが記載されていることと思います。
この要求コードから、証明書の要求をしましょう。
証明局のWEBページから「証明書を要求する」>「証明書の要求の詳細設定」>「Base 64 エンコード ・・・」を選択します。
Certreq.reqの内容を要求ボックスに転記して送信すると、証明局に要求が送信されます。
証明局側で、要求に対する証明書の発行を行います。(画像は撮影し忘れたので割愛)
証明局のWEBページから「保留中の証明書の要求の状態」>「保存された要求証明書 (XXXX年XX月XX日 XX:XX:XX)」を選択します。
Base64エンコードを選択した状態で、証明書のダウンロードをすると、証明書ファイルがダウンロードできます。
ダウンロードした証明書をコマンドラインから受け付けします。
Certreq –accept [ダウンロードしたファイル名]
コマンドが実行された後、証明書の個人ストアに証明書が追加されています。
手順としては、長いですが、なれていると、5分も掛からず作業できます。
次回は、エンタープライズCAでの証明書の作り方について、記載したいと思います。
0 件のコメント:
コメントを投稿