2012年02月14日
NTAuth ストア
といってもお店ではありません。かなり前から、PCをWindowsドメインに参加させると古いルート証明書が自動的に登録される怪現象に悩まされてきましたが、グループポリシーを探しても、証明書ストアを探しても配布元がわかりませんでした。が、ようやく見つけました。NT Authストアというところです。どこにあるかっていうと、
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=以下Active Directoryドメイン名
っていうところです。ldifde で出力させるとちゃんと出てきます。おいらの会社ではかなり昔に、Windowsの証明書サービスでいろいろと証明機関を作ったりテスト証明書を発行したりしていたのですが、それらがここに溜まってしまい、いまだにPCをドメイン参加させると配布されてしまうというわけでした。
これを防ぐにはこのNT Authストアから証明書を消せばいいのですが、ldifインポートで操作するのはちと怖い。で、いろいろと探していたら、WindowsServer2008R2だと、機能の追加・リモートサーバ管理ツール・役割管理ツール・ActiveDirectory証明書サービスツールの中の「証明機関ツール」というのをインストールすると、管理コンソールでエンタープライズPKI管理ツールを追加できるようになります。これを開き、右クリックの「ADコンテナーの管理」を開くと、出ました!証明機関で発行したルート証明書やらがいっぱい溜まっています。躊躇なく削除!!いまおいらの会社で使っているルート証明書以外をきれいさっぱり消去しました。これで、もうクライアントPCに証明書が入ってしまうことはないはずです。
ちなみにこのストアに証明書を入れるには、ldifdeでインポートするか、
certutil -dspublish -f [DER形式ファイル] NTAuthCA
っていうコマンドを使います。面倒っていうか、Microsoftの証明書サービスを使わない人に対してはとことん不親切ですね!こうゆう情報、Webでもなかなか無いんですよね。ていうか、やはり電子証明書の運用は負荷が大きいので、あまりやってないんでしょうかね?
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=以下Active Directoryドメイン名
っていうところです。ldifde で出力させるとちゃんと出てきます。おいらの会社ではかなり昔に、Windowsの証明書サービスでいろいろと証明機関を作ったりテスト証明書を発行したりしていたのですが、それらがここに溜まってしまい、いまだにPCをドメイン参加させると配布されてしまうというわけでした。
これを防ぐにはこのNT Authストアから証明書を消せばいいのですが、ldifインポートで操作するのはちと怖い。で、いろいろと探していたら、WindowsServer2008R2だと、機能の追加・リモートサーバ管理ツール・役割管理ツール・ActiveDirectory証明書サービスツールの中の「証明機関ツール」というのをインストールすると、管理コンソールでエンタープライズPKI管理ツールを追加できるようになります。これを開き、右クリックの「ADコンテナーの管理」を開くと、出ました!証明機関で発行したルート証明書やらがいっぱい溜まっています。躊躇なく削除!!いまおいらの会社で使っているルート証明書以外をきれいさっぱり消去しました。これで、もうクライアントPCに証明書が入ってしまうことはないはずです。
ちなみにこのストアに証明書を入れるには、ldifdeでインポートするか、
certutil -dspublish -f [DER形式ファイル] NTAuthCA
っていうコマンドを使います。面倒っていうか、Microsoftの証明書サービスを使わない人に対してはとことん不親切ですね!こうゆう情報、Webでもなかなか無いんですよね。ていうか、やはり電子証明書の運用は負荷が大きいので、あまりやってないんでしょうかね?
