AD CS において Subject Alternative Name 属性を付与した証明書を発行する

皆さん、こんにちは。

今回は、Active Directory 証明書サービス (Active Directory Certificate Services, AD CS) に関するネタです。みんな大好き PKI (Public Key Infrastructure)

Active Directory 証明書サービスにおいて、SAN (Subject Alternative Name) (サブジェクト代替名) 属性を付与した証明書を発行する方法について紹介したいと思います。

<SAN (Subject Alternative Name) とは>

JPRS によると

SANには、そのサーバー証明書を設定・使用するサーバーを示すドメイン名・IPアドレス・URIなどを記述し、それらの識別子(ID)をその証明書に関連付けます。SANは「サブジェクト代替名」を意味しており、証明書に関連付ける実体(entity)を記述するSubjectフィールドの情報を追加・置き換える形で、識別子を複数記述できます。

https://jprs.jp/glossary/index.php?ID=0268

<Active Directory 証明書サービスの場合の SAN (Subject Alternative Name) を付与した証明書のリクエスト方法>

  1. Active Directory 証明書サービスの Web にアクセスします。
    https://<servername>/certsrv
  2. [証明書を要求する] を選択します。
  3. [証明書の要求の詳細設定] を選択します。
  4. [証明書の要求または更新要求の送信] 画面が表示されますので、この [属性] のフィールドに SAN (Subject Alternative Name) を記述します。
    [属性] フィールドの入力例 :
    単一の DNS 名を設定する場合 : san:dns=web.sccm.jp
    複数の DNS 名を設定する場合 : san:dns=web1.sccm.jp&dns=web2.sccm.jp
    IP アドレスを設定する場合 : san:ipaddress=192.168.0.1&dns=192.168.0.1

    ※ SAN にも、IP アドレスが設定できるということがポイントです。

<まとめ>

今回は、Active Directory 証明書サービスにて証明書を発行する際に、SAN (Subject Alternative Name) を付与する方法について紹介しました。SAN を付与する方法は掲載されていても、SAN を IP アドレスで付与する場合の方法についてはあまり記載がなく、今回困りましたので、記事にまとめました。特に、テスト目的で、DNS 名を付与できず、Public IP にて、証明書を付与しなければならないケースなどもあると思いますので、参考になれば幸いです。