コア ネットワーク必携ガイド: サーバー証明書の展開

  • [アーティクル]

 

適用対象: Windows Server 2012

Windows Server 2012 コア ネットワーク ガイドでは、新しいフォレスト内の新しい Active Directory® ドメインと、ネットワークが十分に機能するために必要なコア コンポーネントを計画およびデプロイする手順を説明します。

このガイドでは、ネットワーク ポリシー サーバー (NPS)、ルーティングとリモート アクセス サービス (RRAS)、またはその両方を実行しているコンピューターのサーバー証明書を展開するための指示を提供することで、コア ネットワーク上に構築する方法について説明します。

ヒント

このガイドは、Microsoft TechNet ギャラリーに Word 形式で https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7します。

このガイドは次のセクションで構成されます。

このガイドを使用するための前提条件

これは、Windows Server 2012 コア ネットワーク ガイドの必携ガイドです。 このガイドにサーバー証明書を展開するには、最初で次行う必要があります。

  • コア ネットワーク ガイドを使用して、コア ネットワークを展開するか、既にテクノロジで提供され、正しく機能しているネットワーク上のコア ネットワーク ガイド。 これらのテクノロジには、TCP/IP v4、DHCP、Active Directory ドメイン サービス (AD DS)、DNS、NPS、および Web サーバー (IIS) が含まれます。

    注意

    Windows Server 2012 コア ネットワーク ガイドが記載されている、 Windows Server 2012 テクニカル ライブラリ (https://go.microsoft.com/fwlink/?LinkId=154884)。

    コア ネットワーク ガイドは、Microsoft TechNet ギャラリーに Word 形式でも (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea)。

このガイドについて

このガイドでは、NPS、RRAS、またはその両方で AD CS を使用して実行するサーバーにサーバー証明書を展開する手順について Windows Server 2012します。

サーバー証明書は、ネットワーク アクセスの認証のために拡張認証プロトコル (EAP) および保護された EAP (PEAP) を使用する証明書ベースの認証方法を展開する場合に必要です。

Active Directory 証明書サービス (AD CS) EAP および PEAP 証明書ベースの認証方法のサーバー証明書の展開には、次の利点が提供されます。

  • 秘密キーに NPS または RRAS サーバーを実行しているサーバーの id をバインドします。

  • ドメイン メンバーの NPS および RRAS サーバーに証明書を自動的に登録するためのコスト効果の高い、セキュリティで保護されたメソッド

  • 証明書と証明機関 (Ca) を管理するための効率的な方法

  • 証明書ベースの認証によるセキュリティ

  • 追加の目的のための、証明書の用途拡張

このガイドは、Windows Server 2012 コア ネットワーク ガイドの説明に従ってコア ネットワークをデプロイしたネットワーク管理者およびシステム管理者、またはコア ネットワーク ガイドに記載されているテクノロジ (Active Directory ドメイン サービス (AD DS)、ドメイン ネーム サービス (DNS)、動的ホスト構成プロトコル (DHCP)、TCP/IP、Web サーバー (IIS)、ネットワーク ポリシー サーバー (NPS) など) を既にデプロイしているネットワーク管理者およびシステム管理者を対象に作成されています。

重要

このガイドでは、オンラインのエンタープライズ ルート証明機関 (CA) を使用してサーバー証明書を展開する手順についてははコンピューティング リソースが限られている小規模な組織向けです。 セキュリティ上の理由で組織のコンピューティング リソースの場合は勧め 2 階層公開キー基盤 (PKI) でのオフラインのエンタープライズ ルート CA を展開することです。 詳細については、「その他の情報」を参照してください。

このデプロイ シナリオで使用される各テクノロジについては、それぞれの設計ガイドやデプロイ ガイドを参照することをお勧めします。 これらのガイドは、このデプロイ シナリオが組織のネットワークに必要なサービスおよび構成を提供するかどうかを判断するのに役立ちます。

サーバー証明書の展開の要件

証明書を使用するための要件を次に示します。

  • を自動登録を使用してサーバー証明書を展開する AD CS が必要です、 Windows Server 2012 Standard、Enterprise、または Datacenter オペレーティング システムです。 AD CS をインストールする前に、AD DS をインストールする必要があります。 AD CS は、単一のサーバーに配置できますが、多くの場合は、Ca として構成されている複数のサーバーを含みます。

  • 機関情報アクセス (AIA) および証明機関によって生成される証明書失効リスト (CRL) にアクセス権を持つコンピューターを提供するには、このガイドの指示に従って正しく構成されている Web サーバーが必要です。

  • 仮想プライベート ネットワーク (Vpn) の PEAP または EAP を展開するには、RRAS が VPN サーバーとして構成を展開する必要があります。 NPS の使用は省略可能です。ただし、複数の VPN サーバーがあれば、NPS を使用して、推奨管理の簡素化し、NPS は RADIUS アカウンティングのサービスの。

  • リモート デスクトップ ゲートウェイ (RD ゲートウェイ) の PEAP または EAP を展開するには、RD ゲートウェイと NPS を展開する必要があります。

    注意

    Windows Server の以前のバージョンでリモート デスクトップ サービスは、ターミナル サービスを名前でした。

  • 配置する PEAP または EAP 802.1 X をセキュリティで保護されたワイヤード (有線) またはワイヤレス、する必要があります配置 NPS および 802.1 X 対応スイッチやワイヤレス アクセス ポイントなどの追加のハードウェア。

  • トランスポート層セキュリティ (EAP-TLS) または PEAP-TLS で使用する EAP などのサーバー認証証明書を要求する方法に加えて、ユーザーとコンピューターの認証用の証明書を必要とする証明書ベースの認証方法を展開するには、ユーザーまたはコンピューターの証明書自動登録によって、またはスマート カードを使用して、展開することも必要があります。

このガイドで説明されていないもの

このガイドは、設計と AD CS を使用して、公開キー基盤 (PKI) の導入について包括的な手順を説明していません。 このガイドのテクノロジを展開する前に PKI の設計ドキュメント、AD CS のドキュメントを確認することをお勧めします。 詳細については、次を参照してください。、 その他の情報 このドキュメントの後半のセクションです。

このガイドはサーバー コンピューターで Web サーバー (IIS) またはネットワーク ポリシー サーバー テクノロジをインストールする方法の手順を説明していませんこれらはコア ネットワーク ガイドで説明されています。

また、このガイドでは、サーバーの証明書を使用できるネットワーク アクセス テクノロジを展開するための詳細な手順については提供されません。

テクノロジの概要

EAP、PEAP、および AD CS のテクノロジの概要を次に示します。

EAP

拡張認証プロトコル (EAP) は、任意の長さの資格情報と情報の交換を使用する任意の認証方法を可能にすることで、Point-to-Point プロトコル (PPP) を拡張したものです。 EAP は、スマート カード、トークン カード、および暗号電卓などのセキュリティ デバイスを使用する認証方法の需要の増加への応答に開発されました。 EAP は、PPP 内で追加の認証方法をサポートするための業界標準のアーキテクチャを提供します。

EAP では、任意の認証メカニズムを使用して、クライアントとサーバーの id をネットワーク アクセス接続を確立することを確認します。 使用する適切な認証方式をネゴシエートするには、アクセス クライアントと認証システムのネットワーク アクセス サーバーまたはリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバー。

EAP 認証のネットワーク アクセス クライアントと認証システム (NPS を実行するサーバー) などの両方が同じの EAP の種類が正常に認証が発生するをサポートする必要があります。

重要

証明書に基づくようの強力な EAP の種類は、CHAP、MS-CHAP、バージョン 1 などのパスワード ベースの認証プロトコルよりもブルート フォース攻撃、辞書攻撃やパスワード推測攻撃に対して、高いセキュリティを提供します。

[EAP Windows Server 2012

Windows Server 2012 EAP インフラストラクチャ、EAP の種類、および NPS などの RADIUS サーバー (EAP-RADIUS) に EAP メッセージを渡す機能が含まれます。

EAP を使用するには、EAP の種類と呼ばれる追加の認証方式をサポートできます。 EAP の種類でサポートされている Windows Server 2012 は。

  • **トランスポート層セキュリティ (TLS)**します。 EAP を使用する場合に、コンピューター証明書または NPS を実行するコンピューターに登録されているサーバー証明書だけでなく、ユーザーの証明書の使用が必要です。

  • **Microsoft チャレンジ ハンドシェイク認証プロトコルのバージョン 2 (MS-CHAP v2)**します。 この種類の EAP は、パスワード ベースの認証プロトコルです。 EAP MS-CHAP v2 認証方法として EAP 内で使用した場合 NPS および RRAS サーバーはユーザーに対してユーザー名とパスワードを持つ id 証明中に、クライアント コンピューターの識別の証拠としてサーバー証明書を提供します。

  • トランスポート層セキュリティ (TTLS) トンネリングされたします。 機能により、EAP-TTLS Windows Server 2012 し、その他のバージョンの Windows Server では使用できません。 EAP-TTLS は、標準ベースの EAP トンネリング方法であり、相互認証をサポートします。 EAP-TTLS は、EAP メソッドやその他の従来のプロトコルを使用して、クライアント認証のためのセキュリティ保護されたトンネルを提供します。 また、EAP-TTLS を使用すると、ネットワーク アクセス ソリューションのためにクライアント コンピューター上に EAP-TTLS を構成できます。この場合、EAP-TTLS をサポートする Microsoft 以外のリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーが認証に使用されます。

さらに、その他の EAP 認証の種類を提供するには、NPS またはルーティングとリモート アクセスを実行しているサーバーに他の Microsoft 以外の EAP モジュールをインストールできます。 ほとんどの場合、サーバーでは、その他の EAP の種類をインストールする場合必要がありますも一致する EAP クライアント認証コンポーネントをインストールするクライアント コンピューター、クライアントとサーバーにより正常に接続要求に使用する認証方法がネゴシエートできるようにします。

PEAP

PEAP では、TLS を使用して、ワイヤレス コンピューターと NPS または他の RADIUS サーバーを実行しているサーバーなどの PEAP 認証システムなどの認証の PEAP クライアント間の暗号化されたチャネルを作成します。

PEAP は認証方法を指定していないが、他の EAP 認証プロトコル (EAP-MSCHAP v2) など PEAP が提供する TLS 暗号化チャネルを通じて動作できる追加のセキュリティを提供します。 PEAP は、次の種類のネットワーク アクセス サーバー経由で組織のネットワークに接続するアクセス クライアントの認証方法として使用されます。

  • 802.1 X 対応ワイヤレス アクセス ポイント

  • 802.1 X 対応認証スイッチ

  • 実行するコンピューター Windows Server 2012 または Windows Server 2008 R2 と RRAS VPN サーバーとして構成されています。

  • 実行するコンピューター Windows Server 2012 または Windows Server 2008 R2 と RD ゲートウェイ

PEAP の機能

EAP プロトコルとネットワークのセキュリティ強化のため、PEAP を提供します。

  • クライアントとサーバー間に発生する EAP によるネゴシエーションの保護を提供する TLS チャネル。 この TLS チャネルは、攻撃者が少ないセキュリティで保護された EAP の種類のネゴシエーションが発生するには、クライアントとネットワーク アクセス サーバー間でパケットを挿入するを防ぐのに役立ちます。 TLS チャネルの暗号化は、NPS を実行しているサーバーに対するサービス拒否攻撃の拒否を防ぐためにも役立ちます。

  • 断片化とこの機能を提供しない EAP の種類の使用を許可する、メッセージの再構築をサポートします。

  • NPS または他の RADIUS サーバーを認証することであるクライアント。 サーバーも、クライアントを認証するためには、相互認証が行われます。

  • EAP クライアントが NPS を実行しているサーバーによって提供される証明書を認証するときに、その時点で、承認されていないワイヤレス アクセス ポイントの展開から保護します。 さらに、PEAP 認証システムと、クライアントによって作成された TLS マスター シークレットは、アクセス ポイントとは共有されません。 このため、アクセス ポイントは、PEAP で保護されているメッセージを暗号化解除できません。

  • PEAP のすばやい再接続、クライアントによる認証要求から NPS または他の RADIUS サーバーによる応答までの遅延を減らすことです。 高速再接続ワイヤレス クライアント認証を繰り返し要求することがなく、同じ RADIUS サーバーを RADIUS クライアントとして構成されているアクセス ポイント間を移動することもできます。 こうクライアントとサーバーのリソース要件と、資格情報をユーザーが求めるメッセージが表示された回数の数を最小限に抑えします。

Active Directory 証明書サービス

AD CS で Windows Server 2012 はカスタマイズ可能なサービスの作成と公開キー テクノロジを採用しているソフトウェア セキュリティ システムで使用される X.509 証明書の管理を提供します。 組織は、AD CS を使用して、個人、デバイス、またはサービスの id を対応する公開キーにバインドすることによってセキュリティを強化することができます。 AD CS には、証明書の登録と失効多様な拡張性の高い環境で管理するための機能も含まれています。