代替クライアント証明書を使用するための Jamf AD CS Connector (IIS) の構成

AD CS Connector は、インストール時に安全なクライアント証明書を作成します。ただし、オーガニゼーションで内部 CA またはサードパーティ CA を使用する場合は、代替クライアント証明書を使用して AD CS Connector を構成できます。

要件

  • 使用するクライアント証明書。

  • クライアント証明書は .pfx または .p12 形式であること (この形式は通常、PKI チームによって提供されます)。

  • クライアント証明書はすでにインストールされており、サーバの証明書信頼ストアに存在すること。

  1. Start (開始) メニューをクリックし、Run (実行) を選択し、certlm.msc と入力して Certificate Manager (証明書マネージャ) ツールを開きます。

  2. 使用するクライアント証明書に移動し、ID を右クリックして、All Tasks (すべてのタスク) > Export (エクスポート) を選択します。

  3. Certificate Export (証明書のエクスポート) ウィザードがエクスポートプロセスのガイダンスを行います。

    プロンプトが表示されたら、秘密鍵をエクスポートせず、代わりに Base-64 encoded X.509 (.cer) エクスポートファイル形式を選択します。

  4. エクスポートした .cer ファイルをメモ帳で開き、以下の行を削除します:
    -----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
  5. 証明書のコンテンツを 1 行で表示するためにメモ帳が作成した書式を削除します。
    以下のいずれかを実行することで、これを行うことができます:

    • 手動で書式を削除する。

    • コンテンツをコピーしてブラウザウィンドウに貼り付け、メモ帳にコピーして戻す。

    結果は以下のようになります:

  6. インターネットインフォメーションサービス (IIS) マネージャを開きます。
  7. Connections (接続) サイドバーで、Sites フォルダを開き、Jamf AD CS Connector サイト (デフォルトでは「AdcsProxy」という名前) をクリックして、Configuration Editor (構成エディタ) をダブルクリックします。

  8. Section (セクション) ポップアップメニューをクリックし、system.webServer > security (セキュリティ) > authentication (認証) > iisClientCertificateMappingAuthentication に移動します。

  9. oneToOneMappings をクリックし、構成エントリの右側にある ... ボタンをクリックします。

    エディタには、クライアント構成の設定が表示されます。証明書の値は、クライアント ID の base-64 公開鍵です。
  10. Properties (プロパティ) リストで certificate (証明書) をクリックし、メモ帳を使用して右側のフィールドの長い文字列 (base-64 エンコード証明書) を以前に取得した文字列に置き換えます。

  11. Actions (アクション) サイドバーで、Apply (適用) をクリックして変更を保存します。Configuration Editor (構成エディタ) ウィンドウを閉じます。

  12. IIS Manager (IIS マネージャ) ウィンドウで AdcsProxy サイトに戻り、Actions (アクション) サイドバーで Restart (再起動) をクリックします。