Windows認証局(CA)から証明書を取得するにはどうすればよいですか？

この記事では、SonicWall Web管理画面用の証明書を社内のWindows認証局から取得する方法について説明します。

展開の前提条件

• Microsoft Windows ActiveDirectoryサービスがインストールおよび構成されています。
• Microsoft 証明書サービスがインストールおよび構成されています。
• Microsoftインターネットインフォメーションサービス(IIS)がインストールされ、構成されています。

展開手順

1. ActiveDirectoryサーバーからのCA証明書をエクスポートします。
2. CA証明書をSonicWallにインポートします。
3. SonicWall装置で新しい署名リクエストを作成します。
4. Microsoft 証明書サービスを用いた新しい署名リクエストの証明書の要求を行います。
5. SonicWall装置で証明書を検証します。
6. テスト方法

 Active Directoryサーバー(ADサーバー)からルートCA証明書のエクスポート

1. ADサーバーで[スタート]-[管理ツール]-[証明機関]の順に証明機関アプリケーションを起動します。(certsrv.mscの実行)
2. 証明機関(CA)を右クリックし、[プロパティ]を選択します。
3. [全般]タブを選択し、[証明書の表示]ボタンををクリックします。
4. [詳細]タブを選択し、[ファイルにコピー]をクリックします。
5. [証明書のエクスポートウィザード]に従って、[DER Encoded binary X.509 (.cer)]形式を選択します。
6. [参照]をクリックし、パスとファイル名を指定して証明書を保存します。
7. [次へ]ボタンをクリックして、[完了]ボタンをクリックします 。
   
    
    
    
    

  SonicWall装置へCA証明書のインポート

1. 上部のナビゲーションメニューで[管理]をクリックします。
2. [装置]項目[証明書]ページに移動します。
   
3. [インポート]ボタンをクリックします。
   
4. [PKCS＃7(.p7b)、PEM(.pem)、DER(.derか.cer)エンコードファイルから、CA証明書をインポートする]を選択します。
   
5. [ファイルを選択]ボタンをクリック して、証明機関からエクスポートした証明書ファイルを選択します。
6. [インポート]ボタンをクリックします。
   
   
7. CAルート証明書がインポートされると、証明書の一覧に種別[CA証明書]として表示されます。

   ヒント:このページをフィルタリングして、[表示形式]をインポートした証明書とリクエスト]項目に変更することで、この証明書を簡単に見つけることができます。
   

   

SonicWall装置で証明書の新しい署名リクエスト(CSR)の作成

1. 上部のナビゲーションメニューで[管理]をクリックします。
   [装置]項目[証明書]ページに移動し[新しい署名リクエスト]ボタンをクリックします。
2. SonicWall装置に定義する任意の証明書署名リクエスト情報を入力し、「生成」ボタンをクリックします 。
   
   
3.  [装置]項目[証明書]ページが更新され、新しい証明書が種別[要求の保留中]で表示されます。
   

   メモ帳: このステータスを表示するには、ページを更新する必要がある場合があります。
   
   

   
4. [エクスポート] ボタンをクリックします。
   [証明書署名リクエストのエクスポート]ウィンドウで、[エクスポート]ボタンをクリックし、後で証明機関にインポートできるように、CSRファイルをクライアント端末に保存します。
   

  証明機関にCSRの証明書を要求する

ヒント: ADサーバーがIISを実行している場合(および管理者がこのインターフェイスへのアクセスを許可している場合)、ファイアウォールのCSRを送信する最も簡単な方法はWebブラウザーを使用することです。

1. Webブラウザーを開き、https://x.x.x.x/certsrv/と入力し ます  (x.x.x.xをADサーバーのIPアドレスに置き換えます)。証明書サービスのようこそ画面が表示されます
2. タスクの選択で「証明書を要求する」を選択します。
   
   
   
3. [Base-64エンコードCMC またはPKCS ＃10ファイルを使用して証明書の要求を送信するか、またはBase-64 エンコードされたPKCS＃7ファイルを使用して更新の要求を送信する。]を選択します。
   
4. CSRの内容をコピーして[保存された要求]ボックスに貼り付けます。
5. [証明書テンプレート]で[ Webサーバー]を選択します。
   
6. 証明書の発行を確認後、[DERエンコード]を選択し、[証明書のダウンロード]をクリックします。
   このファイルをSonicWall装置にインポートしたい名前を使用して、クライアント端末に保存します。
   
    

 SonicWall装置で証明書の検証を行う

1. 上部のナビゲーションメニューで[管理]をクリックします。
   [装置]項目[証明書]ページに移動します。
2. 種別が[要求の保留中]と表示された証明書の画像[署名付き証明書のアップロード] ボタンをクリックします。
   
   
3. [ファイルを選択]ボタンをクリックし証明機関からダウンロードしたファイルを指定します。
   
   
   
   
4. 証明書のアップロードが完了すると種別[ローカル証明書]、認証[有]とステータスが変更されます。
   
   

 テスト方法

証明機関に署名された証明書がSonicWall装置にインポートされたので、SSL-VPNだけでなくSonicWall管理画面のHTTPSアクセスにも使用できます。インポートした証明書を管理証明書として設定するには、次の手順を実行します

1. 上部のナビゲーションメニューで[管理]をクリックします。
   [装置]項目[基本設定]ページに移動します。
2. ウェブ管理設定にあります[証明書の選択]でインポートした証明書を選択します。
3. [適用]ボタンをクリックし証明書の変更を保存します。
   
4. 証明機関に署名された証明書をインポートした後にSonicWall装置管理画面にログインすると、次のブラウザエラーが発生する場合があります。
   
   
   注意: 「セキュリティ証明書は、信頼することを選択していない会社によって発行されました。認証局を信頼するかどうかを判断するには、証明書を表示してください。」 。発行元のCA証明書がWebブラウザーの証明書ストアにないため、このエラーが発生します。これを解決するには、Webブラウザーの証明書ストアに対象の証明書をインストールする必要があります。
   

   
   注意: 「セキュリティ証明書の名前が無効であるか、サイトの名前と一致しません」。
   このエラーが発生するのは、証明書署名リクエスト(CSR)の作成時に入力した証明書の共通名(CN)とは異なる名前を使用してWebサイトにアクセスしているためです。上記の例では、証明書のCNはSonicWall.localですが、SonicWallはIPアドレスを使用してアクセスされています。このエラーを解決するには、次の2つのオプションがあります。
   
   

• 証明書署名リクエスト(CSR)を作成するときに、CNを192.168.168.168として入力します。
• SonicWall装置のIPアドレスをCNにマッピングします。