ADCS ネットワークデバイス登録サービスのテンプレート変更

以前、NDESでMSR954 ルータの証明書を要求するを書きましたが、NDESの設定がしっかりしていることが前提でした。
今回は、NDESが発行するテンプレートの変更方法を記載します。

HPE MSR954などのWeb管理ルータなどで証明書を使用する場合、サーバー認証が必要なのですが、NDESのデフォルトテンプレートではIKE中間しか用途が設定されていないので、Webアクセスしようとすると、証明書エラー、エラーコード0ではねられます。

ですので、NDESが発行するテンプレートを変更することで、MSR954などでHTTPSアクセスを行えるようにします。

まず、証明機関スナップインから、証明書テンプレートを右クリック、管理で証明書テンプレートスナップインを開きます。
デフォルトの証明書テンプレート私のところは、IPSec(オフライン要求)ですので、右クリックしてテンプレートの複製を行います。複製したら、テンプレート名と表示名をわかりやすく変更しておきます。

2018-07-13 (1)複製後のプロパティダイアログで、暗号化タブで、SHA256対応の為、一応?Microsoft Strong Cryptographic Providerにチェックを入れておきました。

2018-07-13拡張機能タブのアプリケーションポリシーをダブルクリックし、追加ボタンでサーバー認証、クライアント認証、ドキュメントの暗号化、電子メールの保護を追加しておきました。

セキュリティタブを確認し、NDESサービスユーザーアカウントに読み取り及び登録がついていることを確認します。

OKで保存したら、証明機関スナップインの証明書テンプレートを右クリックして、新規作成→発行する証明書テンプレートをクリックして、先ほど作成した証明書テンプレートを選択して、証明機関に登録しておきます。

次に、ADCSが動作しているサーバーのレジストリを変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP
にある、REG_SZキー
EncryptionTemplate
GeneralPurposeTemplate
SignatureTemplate

2018-07-13 (2)
の文字列値を、さきほど作成したテンプレート名に変更します。
IIS及びADCSサービスを再起動します。
2018-07-13 (4)あとは、ルーターなどから証明書を要求したのち、正しく発行されているか、証明機関スナップインで確認します。

MSR954も、0605P20に変更したのち、設定しなおしています。
基本的にLACPを含み可動はできるようにはなってますが、iPoE関連は試行錯誤中です。

コメントを書く

Month List