質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.98%

  • Linux

    3206questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • Windows

    1256questions

    Windowsは、マイクロソフト社が開発したオペレーティングシステムです。当初は、MS-DOSに変わるOSとして開発されました。 GUIを採用し、主にインテル系のCPUを搭載したコンピューターで動作します。Windows系OSのシェアは、90%を超えるといわれています。 パソコン用以外に、POSシステムやスマートフォンなどの携帯端末用、サーバ用のOSもあります。

  • Ubuntu

    1096questions

    Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

Windows AD CAをエンタープライズ ルートCAにして、そこからLinux(CUIのみ)にコンピュータ証明書を発行する方法

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 224

Windows 2012R2にADとCAをインストールして、CAをエンタープライズCA兼プライベート ルートCAとして使いたいと思っています。
他もすべてWindowsであれば、そのADをルートCAとして追加設定する事やコンピュータ証明書を配布する方法は理解しているのですが、対象がUbuntuやSUSEの場合、どの様にADをルートCAとして追加したり、Linuxのコンピュータ証明書をAD CSを使って作成・登録するのか調べても分かりませんでした。
UbuntuもSUSEもどちらもGUIは使えず、ブラウザーも入っていない前提です。

どなたかご経験あれば教えていただければ嬉しいです。
以上、宜しくお願い致します。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+1

経験はないので通常考えられる方法での回答となります。

1)エンタープライズCAにおけるLinuxサーバのクライアント証明書、またはサーバ証明書の発行
Linuxはopensslで証明書要求(CSR)を作成し、エンタープライズCAで、その要求証明に従って署名した証明書を発行すれば可能だと思います。

エンタープライズCAでWeb登録機関をインストールしているのであればWebGUIから、インストールしていないのであれば、エンタープライズCAローカルの証明書スナップインから処理が可能だと思います。

こちらは使用用途によって、エンタープライズCAでテンプレートを作成の上、発行する必要があるので、結構理解するのが難しいと思います。実際、私は理解しきれていません・・・

2)トラステッドルート証明書にエンタープライズCAを登録
こちらは証明書の使用用途(使用するパッケージ、またはソフトウェ)に依存します。
有名処ではhttp ssl.conf等のSSLCACertificateFileに指定するとか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/09/29 11:20

    アドバイスありがとうございます。
    (1)はできてLinuxに適用しようとしましたが、LinuxのApache + OpenSSLで証明書を利用する場合、中間CA証明書が必須のようで、現在AD CAを一つROOTとして立てているだけなので中間CAがありません。
    いろいろ調べるとスタンダードCAをROOTにして今のエンタープライズCAをその配下の中間CAにして、その中間CAからLinuxのApache + OpenSSL用の証明書を作成すべきだったと気づきました。
    そこまで環境構築するのに時間がかかりそうですので、いったんは、こちらでクローズさせていただきますが大変参考になりました。
    ありがとうございました。

    キャンセル

  • 2017/09/29 11:28

    > LinuxのApache + OpenSSLで証明書を利用する場合、中間CA証明書が必須
    これ本当ですか?(私も未熟なうえでの質問です)
    出典を提示して頂けますか?
    中間証明構成を取っていない公的証明機関(いまどきないとは思いますが)だった場合に、SSL構成できないような作りになっているとは思えないのですが・・・

    キャンセル

  • 2017/10/02 10:34

    私も詳しくないですが、色々検索しているなかで以下の情報があり、このなかで、「CentOSやUbuntuではなぜか中間CA証明書がないとうまく証明書が信用がされなかった。このため、中間CA証明書についても作成を行う。」と記載されていましたし、証明書サービスを行っているベンダーもApache用に中間CA証明書を提示していますので、そういうものかと思いました。
    https://orebibou.com/2016/11/%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88%E8%AA%8D%E8%A8%BC%E5%B1%80%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%97%E3%81%A6lan%E5%86%85%E3%81%A7%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B%E8%A8%BC/

    キャンセル

  • 2017/10/02 10:40

    ありがとうございます。確認しました。「必須」かどうかは不明として、うまく動作しないということですね。
    う~ん、なんででしょう?

    さておき、中間サーバまで作成するとなると、結構手間です。
    私見ですが、以下のサイトが大変参考になりました。
    http://milestone-of-se.nesuke.com/sv-advanced/digicert/standalone-root-ca/

    キャンセル

  • 2017/10/02 11:14

    私も理由はわかりませんが、各社CAプロバイダーのホームページでApacheのSSL設定手順をみても中間CA証明書の設定の手順があるのでCAが階層とる必要があるのかなのかなあと思いました。
    リンクありがとうございます。私も、偶然、その情報は便利と思いお気に入りに保存はしていました。
    他の仕事の合間に検証してますので再度CA構築しなおすか決断できておりませんが、何か進展あったら、こちらに追記したいと思います。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.98%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Linux

    3206questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • Windows

    1256questions

    Windowsは、マイクロソフト社が開発したオペレーティングシステムです。当初は、MS-DOSに変わるOSとして開発されました。 GUIを採用し、主にインテル系のCPUを搭載したコンピューターで動作します。Windows系OSのシェアは、90%を超えるといわれています。 パソコン用以外に、POSシステムやスマートフォンなどの携帯端末用、サーバ用のOSもあります。

  • Ubuntu

    1096questions

    Ubuntuは、Debian GNU/Linuxを基盤としたフリーのオペレーティングシステムです。

  • トップ
  • Linuxに関する質問
  • Windows AD CAをエンタープライズ ルートCAにして、そこからLinux(CUIのみ)にコンピュータ証明書を発行する方法