どうもミツシマです。
今回ですが、今まで1度もやったことのないRADIUSサーバ(NPS)を構築・検証していきたいと思います。
※複数回にまたがると思います。
最終的なイメージは以下のような感じです。

今回は準備として「ActiveDirectory証明機関(ADCS)」をインストールしていきたいと思います!
やることとしては
サーバーマネージャーの機能追加よりインストールしていきます。
サーバーの役割より「ActiveDirectory証明書サービス」を選択します。

一緒に必要な機能もインストールしていきます!


ここでは一旦「証明機関」のみを選択しています。



これで機能追加完了です。
続いてサービスの構成に移ります。
完了画面の「対象サーバーにActiveDirectory証明書サービスを構成する」をクリックします。
※閉じてしまった場合には、サーバーマネージャー上部の通知から構成開始出来ます。

そのまま「次へ」

「証明機関」を選択して「次へ」

ADの環境なので「エンタープライズCA」を選択します。

「ルートCA」を選択します。

バックアップ等もないので「新しい秘密キーを作成する」を選択します。

暗号化オプションは初期値のままで次へ。

※一応色々選択肢はあるみたいですね


CAの名前を入力します。
※今回は自動的に入力されている値のまま進みます。

有効期限に関して、初期値は5年ですが、今回は10年で構成していきたいと思います

データベースの場所も初期値のまま次へ

※本当はDドライブに移したりした方がいいのだろうか??この辺りは良くわかっていないが、そんなにパフォーマンスに影響がありそうな予感がしない為、初期値のままでいいかな〜〜というのが個人的な印象です。
最終確認をして「構成」します


無事に構成が完了しました!!
インストールと構成に関しては以上で終了です。
ただし、このまま進めると新規発行した証明書の有効期限は2年となってしまうので、これを10年まで伸ばすコマンドを実行していきます。
⇒(プライベートな)サーバー証明書であれば5年くらい使用したい気もするので。
では実際にコマンド実行していきます。
Powershellを管理者として実行し、以下のコマンドを実行していきます。
(実行画面)

コマンド実行結果より、初期値が「2年」であることがわかります。
サービスを一旦停止した後、有効期限を「10年」に設定、サービスを起動している形です。
⇒実際にはレジストリの値を変更しているようなので、コマンドではなく該当のレジストリを変更してもOKのようです。
レジストリとしては
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CAName>」にあるようです。
今回はここまでとなります。
次回はパート②として「RADIUSサーバ(NPS)」のインストールと構成となります。
今回ですが、今まで1度もやったことのないRADIUSサーバ(NPS)を構築・検証していきたいと思います。
※複数回にまたがると思います。
最終的なイメージは以下のような感じです。

今回は準備として「ActiveDirectory証明機関(ADCS)」をインストールしていきたいと思います!
やることとしては
- AD CSの機能追加
- AD CSの構成
- 証明書の有効期限を10年に伸ばすコマンドを実行
〜AD CS インストール・設定〜
インストール自体は簡単です。サーバーマネージャーの機能追加よりインストールしていきます。
サーバーの役割より「ActiveDirectory証明書サービス」を選択します。

一緒に必要な機能もインストールしていきます!


ここでは一旦「証明機関」のみを選択しています。



これで機能追加完了です。
続いてサービスの構成に移ります。
完了画面の「対象サーバーにActiveDirectory証明書サービスを構成する」をクリックします。
※閉じてしまった場合には、サーバーマネージャー上部の通知から構成開始出来ます。

そのまま「次へ」

「証明機関」を選択して「次へ」

ADの環境なので「エンタープライズCA」を選択します。

「ルートCA」を選択します。

バックアップ等もないので「新しい秘密キーを作成する」を選択します。

暗号化オプションは初期値のままで次へ。

※一応色々選択肢はあるみたいですね


CAの名前を入力します。
※今回は自動的に入力されている値のまま進みます。

有効期限に関して、初期値は5年ですが、今回は10年で構成していきたいと思います

データベースの場所も初期値のまま次へ

※本当はDドライブに移したりした方がいいのだろうか??この辺りは良くわかっていないが、そんなにパフォーマンスに影響がありそうな予感がしない為、初期値のままでいいかな〜〜というのが個人的な印象です。
最終確認をして「構成」します


無事に構成が完了しました!!
インストールと構成に関しては以上で終了です。
ただし、このまま進めると新規発行した証明書の有効期限は2年となってしまうので、これを10年まで伸ばすコマンドを実行していきます。
⇒(プライベートな)サーバー証明書であれば5年くらい使用したい気もするので。
では実際にコマンド実行していきます。
Powershellを管理者として実行し、以下のコマンドを実行していきます。
#証明書の期間確認コマンド
certutil -getreg CA¥ValidityPeriodUnits
certutil -getreg CA¥ValidityPeriod
#証明書サービスの停止
net stop CertSvc
#証明書の有効期限を10年に延ばす
certutil -setreg CA¥ValidityPeriodUnits 10
#証明書サービスの開始
net start CertSvc
#証明書の期間確認コマンド
certutil -getreg CA¥ValidityPeriodUnits
certutil -getreg CA¥ValidityPeriod
(実行画面)

コマンド実行結果より、初期値が「2年」であることがわかります。
サービスを一旦停止した後、有効期限を「10年」に設定、サービスを起動している形です。
⇒実際にはレジストリの値を変更しているようなので、コマンドではなく該当のレジストリを変更してもOKのようです。
レジストリとしては
「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CAName>」にあるようです。
今回はここまでとなります。
次回はパート②として「RADIUSサーバ(NPS)」のインストールと構成となります。
スポンサードリンク
コメント