大手企業であればキチンとしたシステム管理部門があるが、中小規模企業だとそうはいかない。ちょっとコンピュータに詳しいがゆえに「じゃ、サーバ管理やって」と命令され、途方に暮れている人もいるだろう。本連載ではWindows OSに特化し、ありがちな質問からMicrosoftのWebサイトにも掲載されていないような奇問までを取り上げ、その解決方法を指南する。サーバ管理で頭を痛めている人はぜひ参考にしてほしい。
【詳細画像を含む記事】
【質問01】RD/TSゲートウェイ経由のリモートデスクトップ接続が、証明書の失効状態の確認でエラーになる
■現象
Windows Server 2008 R2のリモートデスクトップ(RD)ゲートウェイを使用して、ユーザーに対してインターネット経由で社内のリモートデスクトップ(RD)セッションホストにリモートデスクトップ接続できる環境を提供しようとしています。サーバ証明書は、Active Directory証明書サービスで構築したエンタープライズPKIで発行したものを使用しています。
Active Directoryドメインのクライアントを外部に持ち出したとき、インターネット接続を使用してRDゲートウェイ経由で接続できるようにしたいと考えているのですが、「この証明書の失効状態の確認を実行できませんでした」というエラーで困っています。サーバ認証を必須としてセキュリティを強化したいのですが、このエラーのため実現できていません。
■解決
RDゲートウェイ経由のリモートデスクトップ接続時に、「この証明書の失効状態の確認を実行できませんでした」と表示される理由は、エラーメッセージのとおり、サーバ認証(ネットワークレベル認証)のためのサーバ証明書の失効状態が確認できなかったことが原因です。
公開キー基盤(PKI)は、証明書、証明機関(CA、認証局)、およびリポジトリの3つの要素で構成されています。このどれがが欠けると、証明書の信頼性、有効性が確認できないため、PKIは正しく機能しません。証明機関は証明書や証明書失効リスト(CRL)を発行する機能を持ち、リポジトリは証明書やCRLを配布する機能を持ちます。
Active Directory証明書サービスでエンタープライズPKIを構成すると、Active Directoryがリポジトリとして機能し、証明書を配布します。証明書は、証明書ファイルを使用して手動で配布することもできます。そして、Active Directory証明書サービスの「証明機関」役割サービスのみをインストールしてある環境では、クライアントはLDAPを使用してCRLをActive Directoryに問い合わせ、失効状態を確認します。そのため、コンピューターがActive Directoryドメインのネットワークにいる限り、失効状態の確認エラーは発生しません。
エンタープライズPKIの証明書をインターネット経由の認証や暗号化に使用する場合は、証明書の失効状態をインターネット側から確認できるように準備しておく必要があります。CRLの配布方法には、LDAPの他に、Active Directory証明書サービスの「オンラインレスポンダー」役割サービスを使用する方法、WebサーバをCRLの配布ポイントとして使用する方法、共有フォルダーをCRLの配布ポイントとして使用する方法などいくつかあります。
インターネットに公開する場合は、HTTPで利用可能なオンラインレスポンダーまたはWebサーバの配布ポイントをネットワークの境界に設置して公開します。具体的な方法については、以下のドキュメントを参考にしてください。後者はWindows Server 2008 R2のDirectAccessのための手順ですが、RDゲートウェイのための配布ポイントにも応用できるはずです。
・Microsoftオンラインレスポンダー(OCSPレスポンダー)のインストール、構成およびトラブルシューティング
・証明書のCRL配布ポイントの構成
なお、公共のCAが発行した証明書を利用する場合は、CAが提供するリポジトリ(通常はWebサーバ)がインターネット上で利用できるため、失効状態の確認エラーは発生しません。
(山市良/ライター)
【関連記事】
【解説】Windows 7を推奨する4つの理由、敬遠する4つの理由
【解説】Windows 7の“コンパネ”を極める!
【解説】Windows 7を買う前に知るべき基本中の基本
【解説】Windows 7の仮想ハードディスクがスゴイ!
【詳細画像を含む記事】
【質問01】RD/TSゲートウェイ経由のリモートデスクトップ接続が、証明書の失効状態の確認でエラーになる
■現象
Windows Server 2008 R2のリモートデスクトップ(RD)ゲートウェイを使用して、ユーザーに対してインターネット経由で社内のリモートデスクトップ(RD)セッションホストにリモートデスクトップ接続できる環境を提供しようとしています。サーバ証明書は、Active Directory証明書サービスで構築したエンタープライズPKIで発行したものを使用しています。
Active Directoryドメインのクライアントを外部に持ち出したとき、インターネット接続を使用してRDゲートウェイ経由で接続できるようにしたいと考えているのですが、「この証明書の失効状態の確認を実行できませんでした」というエラーで困っています。サーバ認証を必須としてセキュリティを強化したいのですが、このエラーのため実現できていません。
■解決
RDゲートウェイ経由のリモートデスクトップ接続時に、「この証明書の失効状態の確認を実行できませんでした」と表示される理由は、エラーメッセージのとおり、サーバ認証(ネットワークレベル認証)のためのサーバ証明書の失効状態が確認できなかったことが原因です。
公開キー基盤(PKI)は、証明書、証明機関(CA、認証局)、およびリポジトリの3つの要素で構成されています。このどれがが欠けると、証明書の信頼性、有効性が確認できないため、PKIは正しく機能しません。証明機関は証明書や証明書失効リスト(CRL)を発行する機能を持ち、リポジトリは証明書やCRLを配布する機能を持ちます。
Active Directory証明書サービスでエンタープライズPKIを構成すると、Active Directoryがリポジトリとして機能し、証明書を配布します。証明書は、証明書ファイルを使用して手動で配布することもできます。そして、Active Directory証明書サービスの「証明機関」役割サービスのみをインストールしてある環境では、クライアントはLDAPを使用してCRLをActive Directoryに問い合わせ、失効状態を確認します。そのため、コンピューターがActive Directoryドメインのネットワークにいる限り、失効状態の確認エラーは発生しません。
エンタープライズPKIの証明書をインターネット経由の認証や暗号化に使用する場合は、証明書の失効状態をインターネット側から確認できるように準備しておく必要があります。CRLの配布方法には、LDAPの他に、Active Directory証明書サービスの「オンラインレスポンダー」役割サービスを使用する方法、WebサーバをCRLの配布ポイントとして使用する方法、共有フォルダーをCRLの配布ポイントとして使用する方法などいくつかあります。
インターネットに公開する場合は、HTTPで利用可能なオンラインレスポンダーまたはWebサーバの配布ポイントをネットワークの境界に設置して公開します。具体的な方法については、以下のドキュメントを参考にしてください。後者はWindows Server 2008 R2のDirectAccessのための手順ですが、RDゲートウェイのための配布ポイントにも応用できるはずです。
・Microsoftオンラインレスポンダー(OCSPレスポンダー)のインストール、構成およびトラブルシューティング
・証明書のCRL配布ポイントの構成
なお、公共のCAが発行した証明書を利用する場合は、CAが提供するリポジトリ(通常はWebサーバ)がインターネット上で利用できるため、失効状態の確認エラーは発生しません。
(山市良/ライター)
【関連記事】
【解説】Windows 7を推奨する4つの理由、敬遠する4つの理由
【解説】Windows 7の“コンパネ”を極める!
【解説】Windows 7を買う前に知るべき基本中の基本
【解説】Windows 7の仮想ハードディスクがスゴイ!