Microsoft 証明書サーバーで下位 CA 証明書を作成する方法

概要

このドキュメントでは、Microsoft 証明書サーバーを使用して下位 CA 証明書を作成する方法を示します。

• http://<ip-address of="" cert="" server="">/certsrv.</ip-address> を参照して、証明書サーバーインターフェイスにアクセスします。
• [ようこそ] 画面で、[証明書の要求] を選択します。
  
  
  
• 次のページで、高度な証明書要求の送信を選択します。
  
  
  
• 次に、CA に要求を作成して送信することを選択します。
  
  次のフォームで、[テンプレート] プルダウンメニューから [下位の証明機関] を選択してください。証明書の情報 (名前、連絡先など) を入力します。要求を送信した後、ローカルシステムに証明書をダウンロードするためのリンクが表示されます。

• ダウンロード後、certificatefrom をローカル証明書ストアにエクスポートします。  [インターネットオプション] ダイアログで、[コンテンツ] タブを選択し、[証明書] をクリックします。新しい証明書は、個人証明書ストアからエクスポートできるようになりました。[エクスポート] をクリックして証明書のエクスポートウィザードを表示します。
  
• エクスポートウィザードで、[秘密キーをエクスポートする] を選択し、形式を選択します。作成したファイルのパスフレーズとファイル名/場所を指定します。
  

Microsoft 証明書サーバーは、おそらく PFX 形式 (PKCS #12) で証明書を提供します。

PEM 形式の certificateinto を取得するには、次の手順を実行します。

• openssl を使用して、openssl pkcs12 – pfxfilename – out tempfile を入力します。
• tempfile をテキストエディタ pemin 開きます。
• RSA 秘密キーの開始-----で始まるセクションに注目してください-----
• -----エンド RSA 秘密キー-----に続くすべてのテキストを選択し、拡張子が key の新しいファイルに入れます。
• pem ファイルから残りのテキストをコピーし、拡張子が crt の別のファイルに貼り付けます。
• キーファイルと証明書ファイルをインポートする準備が整いました。

CLI コマンド 

一部の顧客のルート CA には webinterface がないため、cli インターフェイスを介して同じアクションを使用できます。
マイクロソフトの CA では、コマンドは次のようになります。

certreq-投稿-"CertificateTemplate: SubCA" <certificate-signing-request>. csr</certificate-signing-request>

このコマンドでは、あなたの要求に署名する必要があります CA を選択すると、gui プロンプトがポップアップ表示されます。通常の状況では、同じサーバー上に1つのルート CA しか存在しないので、表示されているものを選択できます。その後、CA サーバーの [保留中の要求] インターフェイスで要求を見つけることができます。

所有者: panagent