迷走ITProですわな~

ITPro駆け出しによるブログ。ゆるくいきます

Let's Encryptを使ってADFS用の証明書を発行【予告】

Let's Encryptについてはこちらをどうぞ。

letsencrypt.jp

 

まぁざっくりいうと無償なのに、証明書発行してくれる素晴らしい取り組みですね。

IISで利用したい場合は少し面倒ですが、サードパーティのツールなども出てきていて、使えないことはないようです。

 

ADFS、Office 365辺りで動いている人は検証シナリオ次第で公的証明書・外部ドメインの取得・Office 365やAzureのサブスクリプション契約が必要となるので、検証に苦しんでいる方も多いのではないでしょうか。

SIer泣かせな世の中です。

 

 

前置きはこの辺にしておいて本題に入りますが、目標はタイトル通り「Let's Encryptを使ってADFS用の証明書を発行」です。

ちなみにADFSは特定のシナリオでMFG(Microsoft Federation Gateway)からのアクセスが発生するため、プライベートCAで発行した証明書ではなく公的な証明書が欲しいので本チャレンジに至っています。

 

【次回以降の流れ】

  1. Azure IaaSにLinux(Ubuntuを想定)サーバーを構築
  2. 構築したサーバーから、Let's Encryptを使って証明書を発行
  3. 発行した証明書をADFSサーバーに入れて動作確認

 

なお、本チャレンジはLet's Encryptのお試しがメインであり、ADFSの証明書としてLet's Encryptで発行した証明書がしっかり使えるか(Microsoft側から信頼されているか)どうかは現時点で把握しておりません。

また、IISで発行作業を行わないのはLet's Encrypt側がLinuxメインで出してきていることに加えて、私自身Linuxも触る機会が欲しいからです(笑)

苦戦すると思いますが、ゆっくり投稿していきます。

AAD ConnectにおけるWinRMサービスを介したADFS,WAP管理

AAD Connectをインストールする際に、ADFSやWAPをWinRMサービスを介して構成・管理できるオプションがありますが、少しハマったのでちょいネタということで。

 

WinRMは、サーバーをリモート管理する際に利用するテクノロジですが、その利用前提条件が以下のように記載されています。

 

----------------------------------------------------------------------------------------------------------------------

 ターゲット サーバーがドメインに参加している場合は、Windows リモート管理が有効であることを確認します。

  • 管理者特権の PSH コマンド ウィンドウで、 Enable-PSRemoting –force

 

  • ターゲット サーバーが、ドメインに参加していない WAP コンピューターである場合は、いくつかの追加の要件があります。
    • ターゲット コンピューター (WAP コンピューター) での要件
      • サービス スナップインから winrm (Windows Remote Management / WS-Management) サービスが実行されていることを確認します。
      • 管理者特権の PSH コマンド ウィンドウで、 Enable-PSRemoting –force
        • ウィザードを実行しているコンピューターでの要件 (ターゲット コンピューターがドメインに参加していないか、信頼されていないドメインにある場合)
        • 管理者特権の PSH コマンド ウィンドウで、 Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • サーバー マネージャーでの要件
        • DMZ WAP ホストをコンピューターのプールに追加します ([サーバー マネージャー]、[管理]、[サーバーの追加] の順にクリックし、[DNS] タブを使用)。
        • サーバー マネージャーの [すべてのサーバー] タブで、 WAP サーバーを右クリックし、[管理に使用する資格情報] を選択し、WAP コンピューターのローカルの資格情報 (ドメインの資格情報ではない) を入力します。
        • リモートの PSH 接続を検証するには、サーバー マネージャーの [すべてのサーバー] タブで WAP サーバーを右クリックし、[Windows PowerShell] を選択します。 リモート PSH セッションが開き、リモート PowerShell セッションを確立できます。

docs.microsoft.com 

----------------------------------------------------------------------------------------------------------------------

 

ADFSはドメイン参加する+一般的にFWを介さないので特に問題になりません。

しかしWAPは一般的に、ワークグループ+FWを介すので色々引っかかりやすいです。

※私は以下で引っかかりました。

 

・TrustedHostsに対する登録は<FQDN>(ホスト名でやっちゃってました。。。)

・WAPのネットワークプロファイルを[Private]にする。もしくは「Enable-PSRemoting」コマンドを実行する際に、「-SkipNetworkProfileCheck」オプションを利用する。

 

詳しいトラブル対応情報は以下にまとまっています。

about_Remote_Troubleshooting

自己紹介

SIerで働いている3年目(もうすぐ4年目)エンジニア

情報系を専攻していましたが、入社するまで特に家でプログラムを書くようなことはなかったです。実際仕事についてから徐々にこの世界にのめり込み始めてます。

 

Microsoft製品ベースのSIが主な業務なため、書くネタはMSに寄ると思います。

今業務で触れている製品の名前を出すとこの辺り(上から関わってる時間が長い)

 

最近はExchangeやらSkypeやら、WSUSやらちょっと手を広げ過ぎてカオスになってきてます。

 

まぁ、業務以外にも競馬予想ソフト作ろうと思ったり、Powershell DSC触りたいと思ったり、なんか色々別路線で動くこともあると思いますので、ゆるーく続けていければと思ってます。

 

よろしくお願いします。