この章でおこなうこと 証明書を発行するプライベート CA 局の設置 および各種設定を行います 第 2 章 CA 局の設定 2.1 設定環境 設定環境について... 26 ページへ 2.2 Active Directory のインストール インストール... 27 ページへ Active Directory のユーザ設定... 27 ページへ 2.3 証明書サービスのインストール インストール... 28 ページへ 2.4 クライアント PC 用証明書の入手 証明書の取得... 30 ページへ 証明書のデータファイル化... 32 ページへ
2.1 設定環境 設定環境について プライベート CA 局を設置するためには Windows 2000 Server 環境が必要です はじめに Windows 2000 Server 環境をご用意ください 26 WL-RA1X ユーザーズマニュアル
2.2 Active Directory のインストール プライベート CA 局を設置するためには Windows 2000 Server 上に Active Directory のインストールが必要です Windows 2000 Server の CD を用意し 以下の要領で Active directory をインストールしてください インストール 1 [ スタート ] メニューから [ プログラム ] [ 管理ツール ] [ サーバの構成 ] をクリックします 2 左側メニューから [Active Directory] を選択します Active Directory ウィザードを開始します を選択します 3 インストールウィザードに従って インストールを行ってください 2 4 インストール完了後 再起動してください 以上で Active Directory のインストール作業は完了です Active Directory のユーザ設定 1 [ スタート ] メニューから [ プログラム ] [ 管理ツール ] [Active Directory ユーザーとコンピュータ ] をクリックします 新規ユーザの保存先指定があった場合には, 保存先を指定します 2 [ 操作 ] をクリックし [ 新規作成 ] [ ユーザー ] を選択します 3 新しいオブジェクト ユーザー が表示されます 4 画面に従って必要事項を入力し ユーザを作成します 以上で Active Directory のユーザ設定作業は完了です WL-RA1X ユーザーズマニュアル 27
2.3 証明書サービスのインストール Active Directory のインストール後 証明書サービス をインストールします 証明書サービス は Widows 2000 Server のオプションコンポーネントとして Windows 2000 Server の CD 内に格納されています インストール 1 [ スタート ] メニューから [ コントロールパネル ] [ アプリケーションの追加と削除 ] を選択します 2 [Windows コンポーネントの追加と削除 ] をクリックし [ 証明書サービス ] のコンポーネントを追加します Windows コンポーネントウィザードに従って インストールを行ってください 証明書機関の種類 では エンタープライズ CA を選択します 3 CA 局の登録 ダイアログが表示されたら 必要事項を入力してください 28 WL-RA1X ユーザーズマニュアル
CA 局の登録 ダイアログでは 次の項目が必須入力となります CA の名前 ( 例 :CA) 組織 ( 例 :MELCO) 地域コード ( 例 :JP) 電子メール ( サーバ管理者のアドレス / 例 :admin@melcoinc.co.jp) 証明書の発行期間なお ここで入力した一部の内容は 証明書作成の際に nrcert コマンドのオプションパラメータとして必要となります ( EAP-TLS による認証設定 (P18) 参照 ) 以上で 証明書サービスのインストール作業は完了です 2 WL-RA1X ユーザーズマニュアル 29
2.4 クライアント PC 用証明書の入手 プライベート CA 局が設置されたサーバから クライアント PC 用のユーザ証明書と CA 証明書を入手し FD 等の媒体を利用して各クライアント PC へ配布する場合は 以下の手順に従ってください なお 本作業は あらかじめ RADIUS サーバにおいて EAP-TLS による認証設定 ( 証明書の発行等 ) が行われている必要があります 未設定の場合には EAP-TLS による認証設定 (P18) を参照して 本作業の前に EAP-TLS による認証設定を行ってください また 配布されたデータファイルのクライアント PC へのインポート手順については 証明書のインポート (P42) を参照してください クライアント PC 用の証明書は クライアント PC から任意の方法により CA 局へアクセスして取得することもできます 詳細については CA 局へのアクセスによる証明書の取得 (P40) を参照してください 以下 証明書の取得から クライアント PC インポート用データファイルへの変換方法について説明します 証明書の取得 はじめに 秘密鍵 がエクスポート可能な形式で含まれた証明書を取得し 引き続き CA 証明書を取得します 1 web ブラウザから http://localhost/certsrv または http://192.168.0.10/certsrv と入力 実行します ( 192.168.0.10 は CA 局のアドレス ) 2 [ 証明書の要求 ] を選択します [ 次へ ] をクリックします 3 [ 要求の詳細設定 ] を選択します [ 次へ ] をクリックします 4 [ フォームを使用してこの CA へ証明書の要求を送信します ] を選択します [ 次へ ] をクリックします 30 WL-RA1X ユーザーズマニュアル
5 次の項目を設定します 証明書テンプレート エクスポート可能なキーとしてマークする : ユーザー を選択する : チェックマークを付ける 2 上記の設定後 [ 送信 ] をクリックします 6 証明書は発行されました 画面が表示されます [ この証明書のインストール ] をクリックします 7 正しくインストールされました と表示されたら ユーザ証明書の取得は終了です [Home] をクリックして手順 2 の画面に戻り CA 証明書の取得作業を引き続き行います 8 CA 証明書の取得または証明書失効リストの取得 を選択します [ 次へ ] をクリックします 9 [Base64 エンコード ] を選択します [CA 証明書をダウンロード ] をクリックします 10 ダウンロードウィザードに従い CA 証明書をダウンロードします WL-RA1X ユーザーズマニュアル 31
証明書のデータファイル化 取得した証明書と CA 証明書のインポート用データファイルへの変換操作は 以下の手順に従ってください 1 [ スタート ] メニューから [ コントロールパネル ] [ インターネットオプション ] を選択します 2 インターネットのプロパティ の[ コンテンツ ] タブをクリックします 3 [ 証明書 ] をクリックします 4 [ 個人 ] タブをクリックし ユーザの証明書 ( 発行者が CA で目的が暗号化ファイルシステム ) を選択します 5 [ エクスポート ] を選択します 6 証明書のエクスポートウィザードに従って 作業を進めます 以下の項目が表示されたら 次のように設定してください はい 秘密キーをエクスポートします にチェックマークを付ける エクスポートファイルの形式に Personal Information Exchange-PKCS#12 (PFX) を選択する パスワード には インポート時に使用するものを入力する エクスポートする証明書ファイルの指定には [ 参照 ] をクリックして 保存先とファイル名 およびファイル形式を指定する 例 : a: user.pfx 7 [ 完了 ] をクリックします 以上で 証明書のデータファイル化が終了しました 引き続き CA 証明書のデータファイル化作業を行います 8 手順 1 ~ 3 を繰り返します 9 [ 信頼されたルート証明機関 ] タブをクリックし ユーザの CA 証明書 ( 発行者が CA で目的がすべて ) を選択します 10[ エクスポート ] を選択します 32 WL-RA1X ユーザーズマニュアル
11 証明書のエクスポートウィザードに従って 作業を進めます 以下の項目が表示されたら 次のように設定してください エクスポートファイルの形式に DER encoded binary X509(CER) を選択する エクスポートする証明書ファイルの指定には [ 参照 ] をクリックして 保存先とファイル名 およびファイル形式を指定する 例 : a: ca.cer 12[ 完了 ] をクリックします 以上で 証明書のデータファイル化がすべて完了しました 2 WL-RA1X ユーザーズマニュアル 33
MEMO 34 WL-RA1X ユーザーズマニュアル