認証機関
Condition:ゲンナリ、、、だけど、空気中の電波をキャッチしてみたい
Win鯖に"認証機関"なる追加コンポーネントがある。
証明書を発行したり失効させたり。
証明書テンプレートを反映させたり。
んで、この"証明書テンプレート"ってのが曲者で、
通常の鯖からCSRを生成し認証機関に読み込ませても、受け付けてもらえない。
事の発端は
"EAP-TLSマシン認証が設定されたCisco Secure ACS for Windows 3.2"
っていう
ドキュメント通りに実装しようとしたところ、ハマった。
・・っつ~か、ハメられた。
・・・っつ~か、泣かされた。
構成として。。。
before
Win2003R2=AD&CA&IAS(Radius)
after
Win2003R2=AD&CA
CiscoACS=Radius
before構成では、EAP-TLSにて無線LANのみでADドメインへのログオンがOKだった。
after構成では、Radius(=Authenticator)をWin2003のIASから切り離し、
CiscoACSにて実装してみることにした。
ここで上記のドキュメントが実装手順書になっていたからチャレンジしてみたものの撃沈。
既に3日間も格闘してしまってるw
"証明書テンプレート"とやらをちょこちょこっといじって、秘密鍵を証明書に持たせる設定にしてやらんとACS側でゴルァ!って怒られちゃうんだよね(^^;
っつ~か、"証明書テンプレート"をいじって認証機関で発行できるようにする方法を調べるのに2日間も掛かっちゃってるし(涙)
んでもって、ACS側でサーバ証明書とルートCA証明書のインストはOK!ってメッセージ出たのに、EAP-TLSを稼動させようとすると、サーバ証明書がインストされてない!ってエラー吐くし。
モチベーションは急降下っすよぉ。。。トホホ。
by mdesign21
| 2007-03-09 20:27
| IT系