迷走ITProですわな~

ITPro駆け出しによるブログ。ゆるくいきます

Let's Encryptを使ってADFS用の証明書を発行 【Part 3】

これの最終回になります。
t-wakabayashi.hatenablog.com

まずは、AAD ConnectウィザードからADFSで利用している証明書更新作業を行います。(WinRMでの構成を実施している場合のみ)
※WinRMを構成していない場合は、各ADFS,WAPの証明書を頑張って更新する必要があります。

f:id:michaelowen628:20170329233749p:plain f:id:michaelowen628:20170329233752p:plain f:id:michaelowen628:20170329233756p:plain

AAD Connectから一発でいけるのは楽でいいですねホント。 以前は結構めんどくさかったのですが。。。
※こんな感じ
AD FS 3.0におけるSSL証明書更新 | 日々徒然

それでは早速外部(WAP経由)からIEを使ってアクセステスト。
ブラウザ既定で入っているIdenTrust 社の証明書「DST Root CA X3」によって、中間証明書「Let’s Encrypt Authority X3」に対するクロス署名が行われているため、クライアントに証明書を入れることなくブラウザアクセスが可能です。 f:id:michaelowen628:20170329233801p:plain

あとは、先進認証を有効化していない場合のネイティブアプリケーション(OutlookSkype等)によるアクセスにおいて、MFGからWAPに対するアクセスが発生するシナリオ(WS-Trustを利用)です。
※Office 2013以降であれば、先進認証(OAuthを利用)を有効化することでMFGからのアクセスを回避可能です。

このシナリオはアクセス元がクライアントではなくMFGとなるため、MFGがWAPから提示される証明書を信頼しているかどうかという話になります。
この動作検証の主旨はそこです。

で結果ですが、繋がりました。 Office ProPlusですが、Exchange Onlineはアプリケーション側が既定で先進認証無効のため、WS-Trustの認証のはずです。 f:id:michaelowen628:20170330005113p:plain

Outlook側の 認証も「クリア」になっています。(先進認証の場合は、「ベアラー」となります) f:id:michaelowen628:20170330011909p:plain

以上の結果、ADFSの検証においてLet’s Encryptの証明書は問題なく使えそうです。 実際のお客様の環境に対してはまだまだ受け入れていただけないでしょうが、動作検証のハードルが下がるので是非ご活用いただければと思います。