一般設定
SCEPmanが受信したSOAPリクエストを正常に処理できるようにするために、いくつかの手順を実行する必要があります:
カスタムドメインとBaseUrl
SCEPmanとの認証を成功させるために、次のいずれかを使用したカスタムドメインが設定されていることを確認してください Aレコード がApp Serviceを指している必要があります。そうでない場合、クライアントはドメインコントローラーから有効なKerberosチケットを要求できず失敗します。
以下の既知の問題について参照してください: WS_E_ENDPOINT_ACCESS_DENIED の詳細情報。
SCEPmanがカスタムドメインでアクセス可能になるように設定されていることを確認してください:
カスタムドメイン同じ要件は、証明書テンプレートの一覧を取得する初期のポリシー要求後に証明書を登録する場合にも適用されます。認証を成功させるために、必ず AppConfig:BaseUrl 変数がカスタムドメインと一致しているか、または他のSCEPmanエンドポイントとは別のURLでADエンドポイントにアクセスしたい場合には専用の AppConfig:ActiveDirectory:BaseUrl 設定を使用してください。
サービスプリンシパルの作成
次のコマンドを使用します New-SCEPmanADPrincipal SCEPman PowerShellモジュールのCmdletを使用してオンプレミスのActive Directoryドメインにサービスプリンシパルを作成します。このコマンドはまたこのアカウントからkeytabをエクスポートし、それをSCEPmanのCA証明書で暗号化します。
このコマンドは、ドメインコントローラーまたはRSAT-AD-Toolsがインストールされたドメイン参加済みサーバー上で実行できます。 RSAT-AD-Tools 機能。プリンシパルを作成したいOUには次の権限も必要です:
OU自体に対して:
コンピューターオブジェクトの作成
子孫のコンピューターオブジェクトに対して:
パスワードのリセット
書き込み
msDS-SupportedEncryptionTypes書き込み
servicePrincipalName書き込み
userPrincipalName
以下の方法では、SCEPmanインスタンスへのアウトゴーイングHTTPSネットワークアクセスも必要となります。
ドメインコントローラーにアクセスできるコンピューターがネットワークアクセスを持たない場合でも動作するCMDletのバリアントがありますが、その場合はSCEPmanのCA証明書をダウンロードしてCAをCMDletを実行するマシンにコピーするなど追加の準備が必要です。
このコマンドを実行すると次の処理が行われます:
次のOUにコンピューターオブジェクトを作成します:
OU=Example,DC=contoso,DC=com組織単位。ステップ5でkeytabを暗号化するためにSCEPmanのCA証明書をダウンロードします。
コンピューターオブジェクトにサービスプリンシパル名(SPN)を追加します。
コンピューターのパスワードに基づく暗号化キーを含むコンピューターアカウント用のkeytabを作成します。
keytabをSCEPmanのCA証明書で暗号化し、CAの秘密鍵を使うSCEPmanだけが再び復号できるようにします。
暗号化されたkeytabを出力し、それをSCEPmanの設定へ転送できるようにします。
そのBase64エンコードされた出力を、環境変数に追加する必要があります: AppConfig:ActiveDirectory:Keytab あなたのSCEPman App Serviceの。
KeytabをSCEPmanに追加
統合は、次の環境変数をSCEPman App Serviceに追加することで簡単に有効にできます。 SCEPman App Service。 利用ケースに応じて、利用可能な証明書テンプレートのうち1つ以上を有効にしてください:
すべての証明書テンプレートを有効にした例:
AppConfig:ActiveDirectory:Keytab
ステップ1で作成したサービスプリンシパルのBase64エンコードされたkeytab
AppConfig:ActiveDirectory:Computer:Enabled
true
AppConfig:ActiveDirectory:User:Enabled
true
AppConfig:ActiveDirectory:DC:Enabled
true
既知の問題
WS_E_ENDPOINT_ACCESS_DENIED
エラー: WS_E_ENDPOINT_ACCESS_DENIED
16進: 0x803d0005
10進: -2143485947このエラーは、Azure App ServiceのデフォルトのURIを使用している場合にCEPサーバーの検証中に発生することが知られています。 デフォルト このエラーは、Kerberosプロトコルがアクセス対象サービスのAレコードのサービスプリンシパル名を要求するために発生します。例えばデフォルトのApp Serviceドメインの場合、 contoso.azurewebsites.net は単なるCNAMEであり、次のようなAレコードを指します:
waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.comこのようなインフラホストのAレコードは将来的に一貫性が保証されないため、このホストのサービスプリンシパル名を追加することは 推奨されません.
アプリサービスにカスタムドメインを追加し、CNAMEの代わりにDNSプロバイダー内でAレコードを使用してアプリサービスを指すようにしてください。
カスタムドメインERROR_INVALID_PARAMETER
エラー: ERROR_INVALID_PARAMETER
16進: 0x80070057
10進: -2147024809このエラーは、URIが http://.で始まるURIを入力した場合にCEPサーバー登録中に発生します。 必ず
ERROR_ACCESS_DENIED
マシンコンテキストでCEPサーバーを登録する際、GPOを編集している実行ユーザー(gpmc.mscを起動したアカウント)は、コンピューター上のローカル管理者グループのメンバーである必要があります。 gpmc.msc) は、GPOを編集している間、そのコンピューターのローカル管理者グループのメンバーである必要があります。
この場合、必ず次を管理者権限で開始してください: gpmc.msc 管理者権限で開始してください。
最終更新
役に立ちましたか?