Windows 証明書テンプレート: SSL/TLS クライアント証明書にグループ (または OU) クレームを含める方法

Windows 証明書テンプレート: SSL/TLS クライアント証明書にグループ (または OU) クレームを含める方法

私は、X.509 クライアント証明書を使用して、相互 TLS 経由で Wi​​ndows クライアントのセットを認証しています。このセットに含まれるクライアントはどれですか?すべきたとえば、グループ メンバーシップまたは親 OU を介して、何らかの方法で AD で管理されます。

注: この質問は、ユーザー証明書ではなく、コンピューター証明書に適用されます。つまり、このようなコンピューターから HTTPS 要求を開始するときに、すべてのユーザーがこの証明書を使用できる必要があります。(これは、mTLS 認証スキームの一部ではない、すべてのユーザー ログオン方法に追加されます。)

サーバーは、認証クライアント コンピューターがこのセットのメンバーであることを認識できる必要があります。サーバーは Linux ベースのコンテナーであり、AD/ドメインの一部ではないため、X.509 証明書の情報のみが得られます。

Windows 証明書テンプレートには、X.509 証明書の一部としてこのような要求を伝える方法が用意されていますか? このような証明書を取得できるコンピューターのセットを制限できるようですが、サーバーがこれらの証明書を識別できるようにマークする方法が見つかりません。

  • X.509 証明書には管理テンプレート名または ID が含まれていないため、それをチェックするようにサーバーを設定することもできません。
  • 件名を構成する際の柔軟性が限られているようです。具体的には、件名フィールドに AD 情報をマッピングする方法がありません。それが理想的ですが、何か見落としているのでしょうか?
  • これらのテンプレートに特定の中間 CA を使用することを考えていましたが、このような基本的な要件に対しては複雑すぎるようです。

テンプレートを通じて設定できる X.509 証明書の別の側面があるのでしょうか? または、グループ/OU とは異なるクレームを使用できますか?

答え1

答えは「いいえ」です。グループ メンバーシップはむしろ動的なプロパティであり、静的ではなく、証明書所有者の ID の一部ではありません。結果として、この情報は ID に属していないため、証明書にグループ メンバーシップを含めることはできません。また、グループ メンバーシップが変更されるたびに、証明書を再発行する必要があります。証明書の有効期間はきわめて長いです。これは非常に欠陥のあるソリューションです。

つまり、そのようなコンピュータからHTTPSリクエストを開始するときに、どのユーザーもこの証明書を使用できるはずです。

これは、ローカル システムまたはネットワーク サービス アカウントで実行されるアプリケーションから TLS 要求が送信された場合にのみ機能します。このような証明書を使用する場合は、たとえばソース コードを介して、デフォルト以外のクライアント証明書を使用するように TLS クライアントを明示的に構成する必要があります。

サーバーはLinuxベースのコンテナであり、AD/ドメインの一部ではありません

興味深いですね。Linux ベースのサーバーは実際のグループ メンバーシップをどのように検証するのでしょうか?

相互 TLS のクライアント証明書は認証方法です。証明書のフィールドは、サーバーが接続する必要があるアカウント情報にマッピングされます。

Linux サーバーは AD の一部ではないため、クライアント証明書を AD ユーザー アカウントにバインドしてグループ メンバーシップを検証することはできません。サーバーは、そのようなグループが実際に存在するかどうかも判断できません。Linux サーバーで使用できる別の ID データベースが必要であり、Linux サーバーは何らかの方法でクライアント証明書をその別の ID データベースの ID にバインドする必要があります。また、この別の ID データベースで使用できる情報のみがクライアント認証に使用されます。

つまり、要件は次のとおりです。

コンピュータのグループ メンバーシップは AD で管理する必要があります。

そして

サーバーはLinuxベースのコンテナであり、AD/ドメインの一部ではありません

これらは相互に排他的であり、一緒に使用することはできません。Linux サーバーを AD 対応にするか、Linux サーバーで使用可能な ID に関する情報を証明書に含めます。また、証明書にグループ メンバーシップを含めることは絶対に避けてください。グループ メンバーシップは、長期間有効な証明書ではなく、短期間有効なトークンで使用する必要があります。

関連情報