Cloud PKI から証明書を発行してみよう

Intune, Microsoft

皆さん、こんにちは。

今回は、以前紹介した Cloud PKI の後編 (前回のその後) を取り上げたいと思います。

以前の記事では、Cloud PKI の概要紹介と CA の作成までは行いました。しかし、実際に証明書を発行するステップは、諸事情により、取り上げられませんでした。そのため、今回はこの証明書を発行するステップをリベンジで取り上げます。

一部、前回の記事と重複します。

<信頼済み証明書に Cloud PKI の CA 証明書を格納する>

  1. まず、ルート CA を配布するプロファイルを作成します。
    [デバイス] > [構成] > [作成] – [新しいポリシー] を選択します。
  2. [プラットフォーム] を適宜選択し、[プロファイルの種類] を [テンプレート] を選択し、[信頼済み証明書] を選択します。
  3. 構成設定にて、下記の画面が表示されます。
  4. ここで、[ルート CA] および [発行元 CA] (Issuing CA) のプロパティ ページに記載がある、[証明書のダウンロード] から証明書をダウンロードします。
  5. 上記のダウンロードした証明書を項番 3 の [有効な .cer ファイルを選択] にてファイルをアップロードします。
    > ルート CA の証明書を [コンピューター証明書ストア – ルート] に設定します。

    > 発行元 CA (Issuing CA) の証明書を [コンピューター証明書ストア – 中間] に設定します。

<SCEP (Simple Certificate Enrollment Protocol) プロファイルを作成して証明書を発行する>

  1. [SCEP 証明書] のプロファイルを作成します。
    [デバイス] > [構成] > [作成] – [新しいポリシー] を選択します。
  2. [プラットフォーム] を適宜選択し、[プロファイルの種類] を [テンプレート] を選択し、[SCEP 証明書] を選択します。
  3. [構成設定] にて必要事項を入力します。
    今回は、ユーザー向けの証明書を発行しようと思うので、[証明書の種類] は [ユーザー] を選択しています。
  4. [ルート CA] は、Cloud PKI で作成した “ルート CA” の方を選択します。
  5. [SCEP サーバーの URL] には、発行元 CA (Issuing CA) の SCEP URI (https://{{CloudPKIFQDN}}/ のまま) を入力します。
  6. [スコープ タグ] は必要に応じて指定ください。
  7. [割り当て] にて、割り当てをしたいグループを選択します。
  8. [適用性ルール] も適宜設定します。
  9. [確認および作成] にて、設定内容が正しいことを確認し、[作成] を選択します。
  10. しかし、今回の構成では、下記のようにエラーが表示されました。
    [無効なデータのため、保存できません。データを更新し、もう一度お試しください: Only software KSP can be used with 4096 KeySize.]
  11. 調べてみると、Windows の場合、キー サイズで 4096 が設定出来るのは、ソフトウェア キー ストレージ プロバイダー (KSP) のみのようです。
    https://learn.microsoft.com/ja-jp/mem/intune/protect/certificates-profile-scep
  12. なので、キー サイズを 2048 に変更して作成しました。

<クライアント側で証明書を確認する>

クライアント PC 側で発行された証明書を確認しましょう。

  1. まず、対象マシン上で [certlm.msc] を起動して、[信頼されたルート証明機関] と [中間証明機関] をチェックします。
  2. [証明書 – ローカル コンピューター] > [信頼されたルート証明機関] > [証明書] を展開すると、今回 Cloud PKI で作成した [TDC Root CA] という発行元のルート証明書が表示されます。
    (ちなみに、下記のスクリーン ショット内にある [TAMAI-CA] はオンプレミスの AD CS (Active Directory Certificate Services) で発行したものとなり、今回の Cloud PKI とは別物となります。)
  3. 続いて、中間証明機関。
    [証明書 – ローカル コンピューター] > [中間証明機関] > [証明書] を展開すると、Cloud PKI で作成した、発行元 CA (Issuing CA) の [TDC Issuing CA] が表示されます。
  4. それでは、本題のユーザー証明書を確認しましょう。
    [certmgr.msc] を起動します。
  5. ユーザー証明書が確認出来ますので、[証明書 – 現在のユーザー] > [個人] > [証明書] を展開します。
    下記のように、[発行者] が Cloud PKI の 発行元 CA (Issuing CA) である証明書が確認出来るかと思います。
    (ちなみに、下記のスクリーン ショット内にある発行者が [TAMAI-CA] の証明書は、オンプレミスの AD CS (Active Directory Certificate Services) から発行したものとなり、今回の Cloud PKI とは別物となります。)
  6. 一応、イベント ログも確認しておきます。
    Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Admin
    Event ID : 36
  7. 無事、証明書が発行されたことを確認出来ました。

<まとめ>

当初の Cloud PKI の記事では、SCEP URI が変数 (https://{{CloudPKIFQDN}}/TrafficGateway/…) になっていることから適切な値では無いと判断して証明書の発行をトライしていませんでしたが、実はこの変数で発行出来ることが分かり、今回の記事をポストしました。

https://learn.microsoft.com/ja-jp/mem/intune/protect/microsoft-cloud-pki-configure-ca#create-scep-certificate-profile

皆さんも、Cloud PKI を活用して、証明書の管理をクラウドにシフトしてみるのはいかがでしょうか。