NPS 用サーバー証明書の作成 (AD CS：スタンドアロン CA)

Last updated at 2023-12-28Posted at 2023-12-23

はじめに

ネットワークポリシーサーバー (NPS) で使用するためのサーバー証明書を発行するための手順です。
証明書を発行する証明機関は、AD CS を使った方法で説明しています。

AD CS には、エンタープライズ CA とスタンドアロン CA があります。
どちらの方式でも、NPS 用のサーバー証明書を作成できるのですが、証明書と NPS との関係性をしっかりと理解することを目的としていますので、スタンドアロン CA を使った手順としています。

1. 事前準備

NPS 用のサーバー証明書を作成する前に必要な前提となる環境です。

1-1. NPS の導入

構築済みの NPS サーバーを用意してください。
まだ構築していない場合は、以下の手順を参考に構築しましょう。

1-2. AD CS の導入

構築済みの AD CS サーバーを用意してください。
この手順では、AD CS が、以下の構成となっていることを想定しています。

スタンドアロン CA
証明機関を導入済み
証明機関 Web 登録を導入済み

まだ構築していない場合は、以下の手順を参考に準備しましょう。
※スタンドアロン CA を選択してください。

2. サーバー証明書の作成

以下の URL は、公開情報に記載されている、NPS サーバー用の証明書の要件です。
この要件に合ったサーバー証明書を作成する必要があります。
この公開情報を読んだだけで、適切なサーバー証明書を作るのは難しいと思いますので、その手順については、本章で説明していきます。

2-1. 証明書要求 (CSR) の作成～申請

NPS サーバーへ管理者権限でサインインして作業を行ってください。

サーバー証明書を作成するための証明書要求ファイル(CSR) を作成します。
この CSR ファイルを証明機関 (AD CS) へ提出し承認を受けることで、サーバー証明書を受け取ることができます。

2-1-1. INFファイルの準備

INF ファイルは、CSR を作成するための INPUT ファイルとなります。
作成した INF ファイルをコマンドで変換して、CSR ファイルを作成します。
INF ファイルは、テキストエディタで必要事項を記載して作成します。

NPS の役割を導入したサーバーにサインインします。
　
テキストエディタを開き、以下の INF ファイルサンプルの内容をコピーして貼り付けます。

[NewRequest]
Subject = "C=JP,ST=Tokyo,L=Chuo-ku,O=Sample,CN=npsradius.nps.local"
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
HashAlgorithm = sha256
ProviderType = 12
RequestType = CMC

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

[Extensions]
2.5.29.17="{text}"
_continue_ = "dns=npsradius.nps.local"

3．"Subject" は、サーバー証明書の所有者の属性を示しています。
以下を参考に、都道府県、市区町村、組織などを任意の文字列(英字) に編集してください。
この値は、証明書を取得したクライアント側で証明書の発行元が誰であるのかを人が識別するためのもので、CN=[FQDN]以外の値は、システムの動作に影響するものではありません。動作検証するだけなら、サンプルの内容のままでも問題は無いです。

Subject = "C=JP,ST=[都道府県],L=[市区町村],O=[組織],OU=[組織単位],CN=[FQDN]"

4．"npsradius.nps.local" となっている箇所は、NPSサーバーのホスト名＋ドメイン名となります。利用する環境に合わせて、修正してください。
"Subject の CN=" と "continue の dns=" の２か所あります。

上記の値は、NPS で認証を行うクライアントPC が DNSで名前解決する事ができる名称になっている必要があります。
具体的に言うと、"nslookup npsradius.nps.local" のコマンドを実行したら、NPS サーバーの IPアドレスが返ってくる状態です。

5．編集が終わったら、テキストを保存します。名称は任意ですが、本手順では "request.inf" という名前で保存したこととして説明を続けます。

2-1-2. CSRファイルの作成

コマンドプロンプトを表示して、上記のファイルを保存したフォルダに移動します。
以下のコマンドを実行します。
・request.inf が、事前に作成した INF ファイル名
・request.req が、変換後に作成される CSR ファイル名

certreq -new -f request.inf request.req

上記のコマンド実行を実行した時の画面イメージ

2．以下のように request.req というファイルが出来ている事を確認します。

これで、CSR ファイルが作成できました。
このファイルを使って、証明機関に対して証明書の発行要求を出す事ができます。

2-1-3. 証明書要求の実施

ブラウザを起動して、http:// [AD CSサーバーのIP] /certsrv へアクセスして、「証明書を要求する」を押します。
ページが開かない場合は AD CS サーバーの Windows Firewall の設定を見直してください。

　
「証明書の要求の詳細設定」を選択します。

　
以下の赤枠のリンク先を選択します（この画面は出ないこともあります）

　
前章で作成した request.req をメモ帳で開き、「すべてを選択」して「コピー」します。

　
先ほど開いた証明書 Web 登録の画面の以下の場所に、貼り付けて「送信」を押します。

　
証明書の要求が受け付けられると、以下の画面になります。

以上で、サーバー証明書の要求 (CSR) が、証明機関 (AD CS) へ申請されました。

2-2. 証明機関で証明書を承認し、証明書を発行する

こちらは、企業内の証明機関の管理者の立場になったつもりで作業を行います。
証明機関（AD CS サーバー）へ管理者権限でサインインして作業を行ってください。
承認の作業については、以下の記事で手順を説明していますので、この通りに実施ください。

2-3. 発行された証明書の受け取り

NPSサーバーへ管理者権限でサインインして作業を行ってください。

ブラウザを起動して、http:// [AD CSサーバーのIP] /certsrv へアクセスして、「保留中の証明書の要求の状態」を押します。

　
以下のリンクが、要求に対して承認されたサーバー証明書です。
このリンクを、クリックしてください。
ここにリンクが表示されていない場合は、以下の点を確認してください。
・証明書を要求した時と、同じマシン、同じブラウザを使っているか？
・AD CS サーバー側で、ちゃんと承認が実施できているか？（否認や削除をしてないか？）

　
以下の赤枠の選択肢を選び、サーバー証明書をダウンロードします。

　
ダウンロードしたファイルは、CertReqコマンドを実行したフォルダへコピーしておきます。

　
コマンド画面を管理者モードで開き、証明書をダウンロードしたフォルダへ "cd" コマンドで移動します。続いて、以下のコマンドを実行して、証明書の受け取り (Accept) を実施します。

CertReq -Accept certnew.p7b

下図の通り、証明書がインストールされた旨のメッセージが表示されれば OK です。

CertReq -Accept コマンドは、事前に CertReq -new コマンドで証明書を要求した処理の後続処理となっていて、"-new" と "-Accept" は対になっています。
そのため、証明書要求を実施していないマシンにサーバー証明書（p7b) を複製して、CertReq -Accept を実施しても、エラーが発生して取り込めません。
さらに、１回の証明書要求(-new) に対して、１回の -Accept しか実施できません。
２回目の -Accept は、プロセッサエラーが発生して取り込めないため、その場合は CertReq -new の実施からやり直してください。

こんなエラーが出たこともありました。
この時は、NPS サーバーに証明機関のルート証明書が入っていない場合でした。

以下の記事を参考に、AD CS サーバーからルート証明書をダウンロードして、NPSサーバーにインポートしてください。
★この記事の通りに作業をすすめますが、相違点があります。
本作業の場合は、証明書のインポート先は「ローカルコンピューター」にしてください。
https://qiita.com/carol0226/items/33042c5c639c79832aeb