ネイティブの Microsoft ツールを使用して、パロアルトネットワークファイアウォールの証明書を要求する

マイクロソフトでは、証明書サーバーと共に、証明書署名要求 (CSR) を作成して microsoft 証明書サーバーに送信するためのツールである certreq を提供しています。これらのツールは、Microsoft CA を使用する環境に対して openssl の代わりに使用できます。コマンドは、任意のドメインメンバーシステムから使用できます。

1. Certreq には、証明書情報を提供する .inf ファイルが必要です。メモ帳を使用して、必要に応じて次のサンプル INF ファイルを変更します。たとえば、ファイルを ssl .inf として保存します。

   バージョン

   署名 = "$Windows NT $"

   [NewRequest]

   サブジェクト = "CN = サーバー名";ワイルドカードを使用する場合は "CN = *。DOMAIN.COM」例えば

   ;空のサブジェクトの場合は、代わりに次の行を使用するか、件名行 entierely を削除します。

   ;題目 =

   エクスポート可能 = true ;秘密鍵はエクスポート可能です!

   KeyLength = 2048 ;共通キーサイズ: 512、1024、2048、

   4096、8192、16384

   KeySpec = 1 ;AT_KEYEXCHANGE

   KeyUsage = 0xA0 ;デジタル署名、キー暗号化

   MachineKeySet = true ;キーはローカルコンピュータアカウント に属しています

   ProviderName = "マイクロソフト RSA SChannel 暗号化プロバイダ"

   ProviderType = 12

   SMIME = FALSE

   RequestType = CMC

    

   ;Windows Vista/サーバー2008で少なくとも certreq 送料が必要です

   以下の [文字列] と [拡張] セクションを解釈する

    

   文字列

   szOID_SUBJECT_ALT_NAME2 = "2.5.29.17"

   szOID_ENHANCED_KEY_USAGE = "2.5.29.37"

   szOID_PKIX_KP_SERVER_AUTH = "1.3.6.1.5.5.7.3.1"

   szOID_PKIX_KP_CLIENT_AUTH = "1.3.6.1.5.5.7.3.2"

    

   拡張子

   % szOID_SUBJECT_ALT_NAME2% = "{テキスト} dns = お使いのコンピュータ名"% szOID_ENHANCED_KEY_USAGE% = "{テキスト}% szOID_PKIX_KP_SERVER_AUTH%,% szOID_PKIX_KP_CLIENT_AUTH%"

    

   [RequestAttributes]

   CertificateTemplate = ウェブサーバ;または = SSL-D または CA 証明書の SubCA

   注:

   • クライアントがテンプレートにアクセスできない場合は、certreq からテンプレートが見つからない場合は、[OK] をクリックします。
   • 参照されていない "[文字列]" セクションのダイアログボックスを無視することができます。
2. INF ファイルを必須ファイルにコンパイルします。

   次のコマンドラインコマンドは、キーマテリアルを生成し、INF ファイルを証明書の要求に変換します。

   certreq –新しい ssl.

   証明書の要求が作成されたら、次のコマンドを使用して要求を確認できます。

   certutil ssl.

3. CA に必須ファイルを送信します。

   ネットワーク経由で RPC 経由で ca にアクセスできる場合は、次のコマンドを使用して証明書要求を ca に送信します。

   certreq – ssl を送信します。

   You'lll 選択ダイアログを取得して、CA を選択します。ca がテンプレート設定に基づいて証明書を発行するように構成されている場合、ca はすぐに証明書を発行する可能性があります。ファイルをダウンロードして名前を指定するように求められます。この例では、ssl に名前を指定します。

   証明書の要求が作成されたコンピューターと ca の間で RPC トラフィックが許可されていない場合は、証明書の要求を ca に転送し、ca でローカルに上記のコマンドを実行します。

4. 証明書をローカルブラウザにインストールします。

   証明書が発行され、ファイルとして使用できるようになったら、次のコマンドを使用してインストールします。

   certreq – ssl を受け入れます。

   インストールでは、実際に証明書がコンピュータの個人用ストアに格納され、手順1で作成したキーマテリアルとリンクして、証明書プロパティを構築します。証明書プロパティには、証明書の一部ではないフレンドリ名などの情報が格納されます。

    

   手順 1 ~ 4 を実行すると、証明書は IE 証明書インターフェイスに表示され、ファイアウォールにインポートするために PKCS 12 形式でエクスポートできます。

所有者: npiagentini