Amazon WorkSpaces Active Directory 証明書サービス (ADCS) を用いたデバイス認証構成 アマゾンウェブサービスジャパン株式会社 2017 / 11 / 10
Agenda 1. Amazon WorkSpaces のデバイス認証の仕組み 2. 環境構成概要
Amazon WorkSpaces デバイス認証の仕組み 3 WorkSpaces のエンドポイントへアクセス 4 ルート証明書の提示 6 WorkSpaces へログイン Amazon WorkSpaces 5 ルート証明書にチェーンする有効な証明書の検出 http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/trusteddevices.html
環境構成概要
Availability Zone C Availability Zone A AD Connector を用いた構成概要 Public Subnet 1 10.0.0.0/24 Domain Controller 1 Private Subnet 1 10.0.2.0/24 ADCS 踏み台用インスタンス兼 WorkSpaces Client 作業者 Public Subnet 2 10.0.1.0/24 Domain Controller 2 Private Subnet 2 10.0.3.0/24
Availability Zone C Availability Zone A Microsoft AD を用いた構成概要 Public Subnet 1 10.0.0.0/24 Private Subnet 1 10.0.2.0/24 ADCS 踏み台用インスタンス兼 WorkSpaces Client 作業者 Microsoft AD Public Subnet 2 10.0.1.0/24 Private Subnet 2 10.0.3.0/24
作業の前提条件 1. 必要な Directory Services は構成されているものとします [Microsoft AD ディレクトリの作成方法 ] http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/create_managed_ad.html [AD Connector を作成する方法 ] http://docs.aws.amazon.com/ja_jp/directoryservice/latest/admin-guide/create_ad_connector.html 2. EC2 で構成する下記サーバーはすべて Windows Server 2016 日本語版で構成されているものとします 1. ドメインコントローラー 2. Active Directory 証明書サービス (ADCS) 3. 踏み台用 EC2 インスタンス [EC2 インスタンスの作成 ] http://docs.aws.amazon.com/ja_jp/awsec2/latest/userguide/launchingandusinginstances.html 3. WorkSpaces が作成済みであるものとします [WorkSpaces の作成 ] http://docs.aws.amazon.com/ja_jp/workspaces/latest/adminguide/launch-workspaces-tutorials.html
その他 Active Directory 証明書サービスをスタンドアロン CA で構成する場合は ドメイン参加は不要です 踏み台用 EC2 インスタンスは 証明書を利用してログイン可能であることをわかりやすくするため 本手順ではドメイン参加を行っていないものを使用します 証明機関はルート CA として構成します
呼称 本手順書では 各証明機関を下記の様に記載しています ドメイン名 証明機関の種類 証明機関名 onpremise.local エンタープライズ CA Onpremise-EnterpriseCA example.local スタンドアロン CA Example-StandaloneCA
Step1. Active Directory 証明書サービスのインストール
役割と機能の追加 を起動 作業対象 : ADCS 1. ローカルの Administrators 権限を持つユーザーでログインします 2. [ 管理 ] [ 役割と機能の追加 ] の順にクリックします
役割と機能の追加ウィザード (1) [ 次へ ] をクリック
役割と機能の追加ウィザード (2) 1. [ 役割ベースまたは機能ベースのインストール ] を選択 2. [ 次へ ] をクリック
役割と機能の追加ウィザード (3) [ 次へ ] をクリック
役割と機能の追加ウィザード (4) 1. [Active Directory 証明書サービスを選択 2. 選択すると表示されます 3. [ 機能の追加 ] をクリック
役割と機能の追加ウィザード (5) 1. [Active Directory 証明書サービス ] にチェックが入ります 2. [ 次へ ] をクリック
役割と機能の追加ウィザード (6) [ 次へ ] をクリック
役割と機能の追加ウィザード (7) [ 次へ ] をクリック
役割と機能の追加ウィザード (8) 1. [ 証明機関 ] を選択 2. [ 証明機関 Web 登録 ] を選択 3. [ 機能の追加 ] をクリック
役割と機能の追加ウィザード (9) 1. [ 証明機関 Web 登録 ] にチェックが入ったことを確認 2. [ 次へ ] をクリック
役割と機能の追加ウィザード (10) [ 次へ ] をクリック
役割と機能の追加ウィザード (11) デフォルトのまま [ 次へ ] をクリック
役割と機能の追加ウィザード (12) [ インストール ] をクリック
役割と機能の追加ウィザード (13) 1. インストールが完了したことを確認 2. [ 閉じる ] をクリック
Step2. Active Directory 証明書サービスの構成
ADCS の構成 ウィザードを起動します 作業対象 : ADCS 1. サーバーマネージャーを起動 2. フラグのアイコンをクリック 3. [ 対象サーバーに Active Directory 証明書サービスを構成する ] をクリック
AD CS の構成 ウィザード (1) 1. ローカルの Administrators グループに所属しているユーザーが指定されていることを確認する 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (2) 1. [ 証明機関 ] と [ 証明機関 Web 登録 ] にチェックを入れます 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (3) 1. [ エンタープライズ CA] または [ スタンドアロン CA] を選択 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (4) 1. [ ルート CA] を選択 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (5) 1. [ 新しい秘密キーを作成する ] を選択する 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (6) [ 次へ ] をクリック
AD CS の構成 ウィザード (7) 1. [ この CA の共通名 ] に共通名を英数字で入力 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (8) 1. ルート証明書の有効期限を設定 2. [ 次へ ] をクリック
AD CS の構成 ウィザード (9) [ 次へ ] をクリック
AD CS の構成 ウィザード (10) [ 構成 ] をクリック
AD CS の構成 ウィザード (11) [ 閉じる ] をクリック
Step3. クライアント認証証明書の構成
証明機関の管理ツールの起動 作業対象 : ADCS 1.[ ツール ] をクリック 2.[ 証明機関 ] をクリック
証明書テンプレートの作成 (1) 1.[ 証明書テンプレート ] を右クリック 2.[ 管理 ] をクリック
証明書テンプレートの作成 (2) 1.[Computer] を右クリック 2.[ テンプレートの複製 ] をクリック
[ 全般 ] タブの編集 [ テンプレート表示名 ] を編集 [ 有効期間 ] および [ 更新期間 ] を必要に応じて編集
[ 要求処理 ] タブの編集 [ 秘密キーのエクスポートを許可する ] にチェックを入れる
[ サブジェクト名 ] タブの編集 [ 要求に含まれる ] にチェックを入れる
[ 拡張機能 ] タブの編集 1. [ アプリケーションポリシー ] を選択 2. [ 編集 ] をクリック 3. [ アプリケーションポリシーの説明 ] が クライアント認証 のみになるように編集
[ 発行の要件 ] タブの編集 [CA 証明書マネージャーの許可 ] にチェックを入れる
[ セキュリティ ] タブの編集 証明書を登録するユーザーに [ 登録 ] アクセス権を付与する 設定が終わったら [OK] をクリック
作成された証明書テンプレートの確認 証明書テンプレートが作成されていることを確認します
証明書テンプレートを発行 3. 作成したテンプレートを選択 1. [ 証明書テンプレート ] を右クリック 2. [ 新規作成 ] [ 発行する証明書テンプレート ] をクリック 4. [OK] をクリック 5. 表示されることを確認
Step4. 証明書登録 Web サイトの SSL 化
IIS マネージャーの起動 [ インターネットインフォメーションサービス (IIS) マネージャー ] の起動
[ バインドの編集 ] ウィンドウの起動 1. [Default Web Site] を右クリック 2. [ バインドの編集 ] をクリック
https のバインドの追加 1. [ 追加 ] のクリック 2. 下記をそれぞれ選択種類 : https ホスト名 : 証明書サーバーの FQDN SSL 証明書 : ルート証明書 3. [OK] のクリック 4. https のバインドが作成されていることを確認 5. [ 閉じる ] をクリック
Step5. ルート証明書を Directory Services へ登録
証明書発行画面を開く 作業対象 : ADCS 1. Web ブラウザを起動し https:// 証明書サーバーの FQDN/certsrv でアクセスします 2. [ このサイトの閲覧を続行する ( 推奨されません )] をクリックします
証明書発行 Web サイトへログイン 2. 証明書発行の権限を持つユーザーのユーザー名とパスワードを入力します 1. セキュリティの警告 ウィンドウが表示されたら [OK] をクリック 3. [OK] をクリックします
[ 信頼済みサイト ] への追加 下記の警告が表示されたら [ 信頼済みサイト ] へ追加する
ルート証明書のダウンロード (1) 2. 警告が表示されたら [OK] をクリック 1. [CA 証明書 証明書チェーン または CRL のダウンロード ] をクリック
ルート証明書のダウンロード (2) 1. Base 64 を選択 2. [CA 証明書のダウンロード ] をクリック
ルート証明書をメモ帳で開く 1. ダウンロードした証明書を右クリックしてメモ帳で開きます 2. テキスト全体をコピーします
Directory Services の編集画面を表示 1. WorkSpaces のマネジメントコンソールを開きます 4. [Actions] をクリック 2. [Directories] を選択 3. ルート証明書を割り当てる Directory Services にチェックを入れる 5. [Update Details] をクリック
Directory Services へのルート証明書の割り当て (1) 1. バイス認証を行う端末の OS (WorkSpaces クライアントをインストールする端末 ) にチェックを入れる 2. [Import] をクリック
Directory Services へのルート証明書の割り当て (2) 1. コピーしたテキストを貼り付け 2. [Import] をクリック
Directory Services の更新 1. インポートされたことを確認 2. [Update and Exit] をクリック
確認 Successfully updated directory d-xxxxxxxxxx というメッセージが表示されることを確認する
Step6. クライアント認証証明書の作成
クライアント認証証明書の発行要求 (1) 作業対象 : ADCS 1. Web ブラウザを開き https:// 証明書サーバーの FQDN/certsrv へアクセス 2. [ 証明書を要求する ] をクリック
クライアント認証証明書の発行要求 (2) 1. [ 証明書の要求の詳細設定 ] をクリック 2. 警告が表示されたら [ はい ] をクリック
証明書要求の詳細設定 1. 作成したテンプレートを選択 2. [ 名前 ] を必ず指定し その他は任意に指定する 3. [ エクスポート可能なキーとしてマークする ] にチェックをいれる 4. [ 送信 ] をクリック
要求 ID の確認 要求 ID を記録する
保留中の要求を発行 2. 記録した要求 ID の要求を右クリックし [ すべてのタスク ] を選択 1. [ 保留中の要求 ] をクリック 3. [ 発行 ] をクリック
発行した証明書を確認 1. [ 発行した証明書 ] をクリック 2. 証明書が発行されたことを確認
発行した証明書のダウンロード (1) 1. Web ブラウザにて https:// 証明書サーバーの FQDN/certsrv にアクセス 2. 保留中の証明書の要求の状態 をクリック
発行した証明書のダウンロード (2) 1. 日時のリンクをクリック 2. [ はい ] をクリック
発行した証明書のダウンロード (3) 1. [ この証明書のインストール ] をクリック 2. 新しい証明書は正しくインストールされました のメッセージが表示されることを確認
Step7. クライアント認証証明書のエクスポート
証明書管理ツールの起動 (1) 作業対象 : ADCS 2. [ ファイル ] [ スナップインの追加と削除 ] をクリック 1. [ ファイルを指定して実行 ] にて mmc と入力し [OK] をクリック
証明書管理ツールの起動 (2) 1. [ 証明書 ] を選択 2. [ 追加 ] を選択 3. [ ユーザーアカウント ] を選択 5. 証明書 現在のユーザー が指定されていることを確認 4. [ 完了 ] をクリック 6. [OK] をクリック
証明書のエクスポート (1) 2. インストールした証明書を右クリック 1. [ 証明書 ] を選択 3. [ すべてのタスク ] [ エクスポート ] の順にクリック
証明書のエクスポート (2) [ 次へ ] をクリック
証明書のエクスポート (3) 1. [ はい 秘密キーをエクスポートします ] を選択 2. [ 次へ ] をクリック
証明書のエクスポート (4) 1. [Personal Information Exahange PKCS #12] を選択 2. [ 次へ ] をクリック
証明書のエクスポート (5) 1. 任意のパスワードを設定する 2. [ 次へ ] をクリック
証明書のエクスポート (5) 3. エクスポート先のパスを確認 1. ファイル名を指定 2. [ 保存 ] をクリック 4. [ 次へ ] をクリック
証明書のエクスポート (6) 1. [ 完了 ] をクリック 2. [OK] をクリック
Step8. クライアント認証証明書のインポート
証明書のインポート (Windows クライアント ) (1) 作業対象 : 踏み台サーバー兼 WorkSpaces クライアント 1. エクスポートした証明書を WorkSpaces クライアントを起動する Windows 端末にコピーします 2. インポートする証明書を右クリックして [PFX のインストール ] をクリック
証明書のインポート (Windows クライアント ) (2) 1. ファイルのパスが指定されていることを確認する 2. [ 次へ ] をクリック
証明書のインポート (Windows クライアント ) (3) 1. エクスポート時に指定したパスワードを入力 2. [ 次へ ] をクリック
証明書のインポート (Windows クライアント ) (4) 1. [ 証明書の種類に基づいて 自動的に証明書ストアを選択する ] を選択 2. [ 次へ ] をクリック
証明書のインポート (Windows クライアント ) (5) [ 完了 ] をクリック
証明書のインポート (Windows クライアント ) (6) 2. [OK] をクリック 1. ルート証明書インストールに関する警告が出るので [ はい ] をクリック
インポートされた証明書の確認 (1) 2. [ ファイル ] [ スナップインの追加と削除 ] をクリック 1. [ 名前 ] に mmc と入力して [OK] をクリック
インポートされた証明書の確認 (2) 1.[ 証明書 ] を選択して [ 追加 ] をクリック 2. [ ユーザーアカウント ] を選択して [ 完了 ] をクリック
インポートされた証明書の確認 (3) 1. [ 証明書 現在のユーザー ] と表示されることを確認 2. [OK] をクリック
インポートされた証明書の確認 (4) 2. インポートした証明書が登録されていることを確認 1. [ 個人 ] [ 証明書 ] の順に展開
インポートされた証明書の確認 (5) 1. [ 信頼されたルート証明機関 ] [ 証明書 ] の順に展開 2. インポートした証明書が登録されていることを確認
Step9. WorkSpaces クライアントの起動
Registration Code の確認 作業対象 : 踏み台サーバー兼 WorkSpaces クライアント 1. WorkSpaces のマネジメントコンソールで [WorkSpaces] を選択 2. をクリックして展開 3. [Registration Code] をメモする
WorkSpaces への Registration Code の登録 1. WorkSpaces クライアントを起動 2. 記録した Registration Code を入力し [ 登録 ] をクリック 証明書が正常に登録されていないと [ 登録 ] クリック後に権限がない旨のエラーが表示されます
ログイン 1. WorkSpaces ログインのためのドメインのユーザー名とパスワードを入力し [ サインイン ] をクリック 2. [ はい ] をクリック 3. WorkSpaces のデスクトップが表示される
Appendix. トラブルシューティング
トラブル例 1: [CA 証明書 証明書チェーン または CRL のダウンロード ] をクリックすると 予期しないエラー の旨のエラー画面が表示される
トラブル例 1: 対応策 信頼済みサイトに証明書サーバーの URL ( https:// 証明書サーバーの FQDN ) を追記します
トラブル例 1: 対処後の挙動 再度アクセスするとログイン画面が表示されます ダウンロードできるようになります vv
トラブル例 2: Microsoft AD で構成し Admin アカウントで作業した場合に 証明書テンプレートに ユーザー と 基本 EFS しか表示されない ユーザー と 基本 EFS の 2 つしか表示されません
トラブル例 2: 対処と対処後 Microsoft AD では Admin アカウントに 登録 権限が無いので追加します 作成した証明書が表示されます
おつかれさまでした!