どうもミツシマです。

今回ですが、今まで1度もやったことのないRADIUSサーバ(NPS)を構築・検証していきたいと思います。
※複数回にまたがると思います。

最終的なイメージは以下のような感じです。
最終構成

今回は準備として「ActiveDirectory証明機関(ADCS)」をインストールしていきたいと思います!
やることとしては
  1. AD CSの機能追加
  2. AD CSの構成
  3. 証明書の有効期限を10年に伸ばすコマンドを実行

〜AD CS インストール・設定〜

インストール自体は簡単です。
サーバーマネージャーの機能追加よりインストールしていきます。
サーバーの役割より「ActiveDirectory証明書サービス」を選択します。
01

一緒に必要な機能もインストールしていきます!
02
03

ここでは一旦「証明機関」のみを選択しています。
04

05

06-インストール完了
これで機能追加完了です。

続いてサービスの構成に移ります。
完了画面の「対象サーバーにActiveDirectory証明書サービスを構成する」をクリックします。
※閉じてしまった場合には、サーバーマネージャー上部の通知から構成開始出来ます。
01-インストール後

そのまま「次へ」
02-構成

「証明機関」を選択して「次へ」
03-構成

ADの環境なので「エンタープライズCA」を選択します。
04-構成

ルートCA」を選択します。
05-構成

バックアップ等もないので「新しい秘密キーを作成する」を選択します。
06-構成

暗号化オプションは初期値のままで次へ。
07-構成

※一応色々選択肢はあるみたいですね
08-構成
09-構成


CAの名前を入力します。
※今回は自動的に入力されている値のまま進みます。
10-構成

有効期限に関して、初期値は5年ですが、今回は10年で構成していきたいと思います
12-構成

データベースの場所も初期値のまま次へ
13-構成
※本当はDドライブに移したりした方がいいのだろうか??この辺りは良くわかっていないが、そんなにパフォーマンスに影響がありそうな予感がしない為、初期値のままでいいかな〜〜というのが個人的な印象です。

最終確認をして「構成」します
14-構成確認
15-構成完了

無事に構成が完了しました!!
インストールと構成に関しては以上で終了です。

ただし、このまま進めると新規発行した証明書の有効期限は2年となってしまうので、これを10年まで伸ばすコマンドを実行していきます。
⇒(プライベートな)サーバー証明書であれば5年くらい使用したい気もするので。


では実際にコマンド実行していきます。
Powershellを管理者として実行し、以下のコマンドを実行していきます。
#証明書の期間確認コマンド
certutil -getreg CA¥ValidityPeriodUnits
certutil -getreg CA¥ValidityPeriod

#証明書サービスの停止
net stop CertSvc

#証明書の有効期限を10年に延ばす
certutil -setreg CA¥ValidityPeriodUnits 10

#証明書サービスの開始
net start CertSvc

#証明書の期間確認コマンド
certutil -getreg CA¥ValidityPeriodUnits
certutil -getreg CA¥ValidityPeriod

(実行画面)
16-証明書有効期限延長コマンド
コマンド実行結果より、初期値が「2年」であることがわかります。
サービスを一旦停止した後、有効期限を「10年」に設定、サービスを起動している形です。
⇒実際にはレジストリの値を変更しているようなので、コマンドではなく該当のレジストリを変更してもOKのようです。
レジストリとしては
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CAName>」にあるようです。


今回はここまでとなります。
次回はパート②として「RADIUSサーバ(NPS)」のインストールと構成となります。
スポンサードリンク