かつて山市良と呼ばれたおじさんのブログ

セイテクエンジニアのブログ  かつて山市良と呼ばれたおじさんのブログ  vol.74 SMB over QUIC用証明書をエンタープライズCAで用意するには|Windows Server 2025大特集(11)

 

 

vol.74 SMB over QUIC用証明書をエンタープライズCAで用意するには|Windows Server 2025大特集(11)

2025年01月14日配信
執筆者:山内 和朗

 前回は、Windows Server 2025のファイルサービスの新機能を紹介しました。その中の1つにこれまでDatacenter: Azure Edition限定だった「SMB over QUIC」のサーバー機能が、任意の場所のStandard/Datacenterを含む任意のエディションで利用可能になったことを紹介しました。そして、「Windows Admin Center(v2)プレビュー」を使用すると、SMB over QUICのサーバー機能を簡単に構成できることも示しました。ただし、それはSMB over QUIC(TLS 1.3)が必要とする細かな要件を満たした証明書が利用できることが前提です。

 

Active Directory証明書サービスでエンタープライズPKIを構築する

 

 SMB over QUICのサーバー機能を構成するには、キーの使用方法、目的、署名アルゴリズム、署名ハッシュ公開キーアルゴリズム、サブジェクト代替名、サブジェクト(共通名)、秘密キーなど、細かな要件を満たす証明書が必要です。詳細については、以下のドキュメントで確認してください。

SMB over QUIC|Windows Server(Microsoft Learn)

 証明書は、Verisign、Digicert、Let's Encryptなど、信頼できるサードパーティの認証局(証明機関)から購入して発行してもらうこともできますし、「Active Directory証明書サービス(AD CS)」などで構築した「エンタープライズ公開キー基盤(PKI)」に要求して、発行することもできます。今回は、AD CSで構築したエンタープライズPKIを使用する方法を紹介します。

 既にAD CSを使用してエンタープライズPKIを構築している場合は、その環境を利用できます。まだエンタープライズPKIを展開していない場合は、Active Directoryドメインコントローラーの1台(Windows Server 2016以降)に「役割と機能の追加ウィザード」を使用してサーバーの役割「Active Directory証明書サービス」の役割サービス「証明機関」を追加して構成します(画面1)。証明機関の構成では、CAのセットアップの種類として「エンタープライズCA」を選択し、CAの種類として「ルートCA」を選択して構成してください(画面2)。

 

画面1
画面1 Active Directoryドメインコントローラーの1台にサーバーの役割「Active Directory証明書サービス」の役割サービス「証明機関」を追加する

 

画面2
画面2 役割サービス「証明機関」を追加したら、「AD CSの構成」を使用して証明機関を構成する

 

SMB over QUICの要件を満たす証明書テンプレートを作成する

 

 エンタープライズPKIを構築したら、そのサーバー(証明機関を追加、構成したドメインコントローラー)で「証明機関(ローカル)」スナップイン(certsrv.msc)を開き、「証明書テンプレート」を右クリックして「管理」を選択します。すると、「証明書テンプレートコンソール」スナップイン(certtmpl.msc)が開くので、テンプレート表示名「コンピューター」を右クリックして「テンプレートの複製」を選択します(画面3)。

 

画面3
画面3 「証明書テンプレートコンソール」スナップインで「コンピューター」テンプレートを複製する

 「コンピューター」テンプレートをベースにした「新しいテンプレートのプロパティ」の「互換性」タブが開きます。最初に互換設定を証明機関「Windows Server 2016」、証明書の受信者「Windows 10/Windows Server 2016」に変更します(画面4)。

 

画面4
画面4 「全般」タブで互換設定を最上位の証明機関「Windows Server 2016」、証明書の受信者「Windows 10/Windows Server 2016」に変更する

 「全般」タブに切り替え、「テンプレート表示名」に分かりやすい名前を入力します。テンプレート名は自動入力されまますが、適宜調整してください。また、有効期間も適宜調整してください。「全般」タブでは、必ず「Active Directoryの証明書を発行する」をチェックします(画面5)。

 

画面5
画面5 「全般」タブで「テンプレート表示名」に分かりやすい名前を入力し、「Active Directoryの証明書を発行する」をチェックする

 「要求処理」タブに切り替え、用途を「署名」に変更します。「要求処理」タブの他の項目はチェックする必要はありません(画面6)。

 

画面6
画面6 「要求処理」タブで用途を「署名」に変更する

 「暗号化」タブに切り替え、プロバイダーのカテゴリ「キー格納プロバイダー」、ハッシュアルゴリズム「ECDSA_P256」、最小キーサイズ「256」に設定し、要求で使用できる暗号化プロバイダーとして「サブジェクトのコンピューターで利用可能な任意のプロバイダー」を選択します。「暗号化」タブでは、最後にハッシュの要求「SHA256」を選択します(画面7)。

 

画面7
画面7 「暗号化」タブで「キー格納プロバイダー」「ECDSA_P256」「256」「サブジェクトのコンピューターで利用可能な任意のプロバイダー」「SHA256」を選択する

 「拡張機能」タブに切り替え、拡張機能の一覧から「アプリケーションポリシー」を選択して、「編集」をクリックし、「アプリケーションポリシーの拡張機能の編集」ダイアログボックスが開きます。アプリケーションポリシーとして「クライアント認証」と「サーバー認証」の2つが定義されているので、「クライアント認証」を選択して「削除」をクリックし、「サーバー認証」だけにして「OK」をクリックし、編集ダイアログボックスを閉じます(画面8)。

 

画面8
画面8 「拡張機能」タブで「アプリケーションポリシー」拡張機能を編集し、「サーバー認証」だけにする

 「サブジェクト名」タブに切り替え、「要求に含まれる」を選択し、「自動登録書き換え要求に既存の証明書のサブジェクト情報を使用する」をチェックします(画面9)。

 

画面9
画面9 「サブジェクト名」タブで「要求に含まれる」「自動登録書き換え要求に既存の証明書のサブジェクト情報を使用する」を選択する

 以上の設定を終えたら、「OK」をクリックして「新しいテンプレートのプロパティ」を閉じます。なお、「セキュリティ」タブの設定は既定のままで構いません。

 次に、作成したテンプレートをエンタープライズPKIで発行できるように公開します。それには、「証明機関」スナップイン(certsrv.msc)に戻り、「証明書テンプレート」を右クリックして「発行する証明書テンプレート」を選択し、いま作成したSMB over QUIC用のテンプレートを選択して追加します(画面10)。

 

画面10
画面10 SMB over QUIC用の証明書テンプレートを発行するテンプレートとして「証明機関(ローカル)」の「証明書テンプレート」に追加する

 

SMB over QUICを構成するサーバーから証明書を要求し、発行する

 

 これでActive Directoryドメインのメンバーサーバーは、AD CSのエンタープライズPKIに証明書の発行を要求し、自動発行できるようになりました。

 証明書を要求し、発行を受けるには、SMB over QUICを構成しようとしているサーバーで「証明書 - ローカルコンピューター」スナップイン(certlm.msc)を開き、「個人」を右クリックして「新しい証明書の要求」を選択します。「証明書の登録」ウィザードが開始するので、「証明書の登録ポリシーの選択」ページで「Active Directory登録ポリシー」を選択します。次の「証明書の要求」ページでは、SMB over QUIC用の証明書テンプレートを選択し、「この証明書を登録するには情報が不足しています。設定を構成するには、ここをクリックしてください」をクリックします(画面11)。

 

画面11
画面11 「証明書の登録」ウィザードでSMB over QUIC用の証明書テンプレートを選択し、「ここをクリックしてください」のリンクをクリックする

 「証明書のプロパティ」が開くので、サブジェクト名として種類「共通名」を選択し、値としてサーバーのFQDN(SMB over QUICでSMBクライアントが使用するアドレス)を入力し、「追加」をクリックします。また、別名として種類「DNS」を選択して、値として同じFQDNを入力し、「追加をクリック」します(画面12)。これは必須ではありませんが、「全般」タブに切り替え、「フレンドリ名」に分かりやすい名前(CertforSMBoverQUICなど)を入力しておくと、証明書の識別に役立ちます。

 

画面12
画面12 サブジェクト名(共通名)と別名(DNS)に、サーバーのFQDN(SMBクライアントが使用するアドレス)を設定する

 「証明書の登録」ウィザードに戻り、「登録」をクリックすると、証明書が即時発行されます。発行された証明書は、ローカルコンピューターの「個人」証明書ストアの「証明書」に登録されます(画面13)。

 

画面13
画面13 「証明書の登録」ウィザードで「登録」をクリックすると、即時に証明書が発行される

 

画面14

画面14 SMB over QUIC用の証明書を使用してSMB  over QUICのサーバー機能を構成します(前回の記事へ

 

blog_yamanxworld_subscribe

blog_yamanxworld_comment

blog_yamanxworld_WP_2024fh_TOP5

最新記事