Windows認証局(CA)から証明書を取得するにはどうすればよいですか?
11/18/2021 
0 People found this article helpful
452,879 Views
Description
この記事では、SonicWall Web管理画面用の証明書を社内のWindows認証局から取得する方法について説明します。
展開の前提条件
- Microsoft Windows ActiveDirectoryサービスがインストールおよび構成されています。
- Microsoft 証明書サービスがインストールおよび構成されています。
- Microsoftインターネットインフォメーションサービス(IIS)がインストールされ、構成されています。
展開手順
- ActiveDirectoryサーバーからのCA証明書をエクスポートします。
- CA証明書をSonicWallにインポートします。
- SonicWall装置で新しい署名リクエストを作成します。
- Microsoft 証明書サービスを用いた新しい署名リクエストの証明書の要求を行います。
- SonicWall装置で証明書を検証します。
- テスト方法
Resolution
Active Directoryサーバー(ADサーバー)からルートCA証明書のエクスポート
- ADサーバーで[スタート]-[管理ツール]-[証明機関]の順に証明機関アプリケーションを起動します。(certsrv.mscの実行)
- 証明機関(CA)を右クリックし、[プロパティ]を選択します。
- [全般]タブを選択し、[証明書の表示]ボタンををクリックします。
- [詳細]タブを選択し、[ファイルにコピー]をクリックします。
- [証明書のエクスポートウィザード]に従って、[DER Encoded binary X.509 (.cer)]形式を選択します。
- [参照]をクリックし、パスとファイル名を指定して証明書を保存します。
- [次へ]ボタンをクリックして、[完了]ボタンをクリックします 。
SonicWall装置へCA証明書のインポート
- 上部のナビゲーションメニューで[管理]をクリックします。
- [装置]項目[証明書]ページに移動します。
- [インポート]ボタンをクリックします。
- [PKCS#7(.p7b)、PEM(.pem)、DER(.derか.cer)エンコードファイルから、CA証明書をインポートする]を選択します。
- [ファイルを選択]ボタンをクリック して、証明機関からエクスポートした証明書ファイルを選択します。
- [インポート]ボタンをクリックします。
- CAルート証明書がインポートされると、証明書の一覧に種別[CA証明書]として表示されます。
ヒント:このページをフィルタリングして、[表示形式]をインポートした証明書とリクエスト]項目に変更することで、この証明書を簡単に見つけることができます。 
SonicWall装置で証明書の新しい署名リクエスト(CSR)の作成
- 上部のナビゲーションメニューで[管理]をクリックします。
[装置]項目[証明書]ページに移動し[新しい署名リクエスト]ボタンをクリックします。 - SonicWall装置に定義する任意の証明書署名リクエスト情報を入力し、「生成」ボタンをクリックします 。
- [装置]項目[証明書]ページが更新され、新しい証明書が種別[要求の保留中]で表示されます。
メモ帳: このステータスを表示するには、ページを更新する必要がある場合があります。
- [エクスポート]
ボタンをクリックします。
[証明書署名リクエストのエクスポート]ウィンドウで、[エクスポート]ボタンをクリックし、後で証明機関にインポートできるように、CSRファイルをクライアント端末に保存します。
証明機関にCSRの証明書を要求する
ヒント: ADサーバーがIISを実行している場合(および管理者がこのインターフェイスへのアクセスを許可している場合)、ファイアウォールのCSRを送信する最も簡単な方法はWebブラウザーを使用することです。
- Webブラウザーを開き、https://x.x.x.x/certsrv/と入力し ます (x.x.x.xをADサーバーのIPアドレスに置き換えます)。証明書サービスのようこそ画面が表示されます
- タスクの選択で「証明書を要求する」を選択します。
- [Base-64エンコードCMC またはPKCS #10ファイルを使用して証明書の要求を送信するか、またはBase-64 エンコードされたPKCS#7ファイルを使用して更新の要求を送信する。]を選択します。
- CSRの内容をコピーして[保存された要求]ボックスに貼り付けます。
- [証明書テンプレート]で[ Webサーバー]を選択します。
- 証明書の発行を確認後、[DERエンコード]を選択し、[証明書のダウンロード]をクリックします。
このファイルをSonicWall装置にインポートしたい名前を使用して、クライアント端末に保存します。
SonicWall装置で証明書の検証を行う
- 上部のナビゲーションメニューで[管理]をクリックします。
[装置]項目[証明書]ページに移動します。 - 種別が[要求の保留中]と表示された証明書の画像[署名付き証明書のアップロード]
ボタンをクリックします。 
- [ファイルを選択]ボタンをクリックし証明機関からダウンロードしたファイルを指定します。
- 証明書のアップロードが完了すると種別[ローカル証明書]、認証[有]とステータスが変更されます。
テスト方法
証明機関に署名された証明書がSonicWall装置にインポートされたので、SSL-VPNだけでなくSonicWall管理画面のHTTPSアクセスにも使用できます。インポートした証明書を管理証明書として設定するには、次の手順を実行します
- 上部のナビゲーションメニューで[管理]をクリックします。
[装置]項目[基本設定]ページに移動します。 - ウェブ管理設定にあります[証明書の選択]でインポートした証明書を選択します。
- [適用]ボタンをクリックし証明書の変更を保存します。
- 証明機関に署名された証明書をインポートした後にSonicWall装置管理画面にログインすると、次のブラウザエラーが発生する場合があります。
注意: 「セキュリティ証明書は、信頼することを選択していない会社によって発行されました。認証局を信頼するかどうかを判断するには、証明書を表示してください。」 。発行元のCA証明書がWebブラウザーの証明書ストアにないため、このエラーが発生します。これを解決するには、Webブラウザーの証明書ストアに対象の証明書をインストールする必要があります。 注意: 「セキュリティ証明書の名前が無効であるか、サイトの名前と一致しません」。
このエラーが発生するのは、証明書署名リクエスト(CSR)の作成時に入力した証明書の共通名(CN)とは異なる名前を使用してWebサイトにアクセスしているためです。上記の例では、証明書のCNはSonicWall.localですが、SonicWallはIPアドレスを使用してアクセスされています。このエラーを解決するには、次の2つのオプションがあります。
- 証明書署名リクエスト(CSR)を作成するときに、CNを192.168.168.168として入力します。
- SonicWall装置のIPアドレスをCNにマッピングします。
Related Articles
- NSv: セキュリティポリシーエンジンのモード切り替え方法
- SonicOS 7.1.1、7.1.2のNSv をESXiサーバでデプロイできない。
- ファイアウォール アクセス ルールを使用してボットネット フィルタリングを構成する方法
Categories
- Firewalls > SonicWall SuperMassive 9000 Series > System
- Firewalls > TZ Series > System
- Firewalls > NSa Series > System
- Firewalls > NSv Series > System
YES
NO