自己署名証明書のインストール

ども。
このところデスクワークが続いている担当ちゅんです。

とある案件で、職員が利用している業務用PCに「自己署名証明書」をインストールしなければならなくなりました。自己署名証明書というのは簡単に言えば通信の暗号化を複合するための「鍵」のようなもの。鍵があるから通信できますし、逆にいえば鍵が無ければ通信できません。すみません、こんな説明で。にわかSEにはこれ以上の説明は無理です。

鍵が無ければ通信できないのですから、この作業は必須です。さっそく作業にとりかかろうと導入手順書を読みました。しかし、ほどなくしてその内容に愕然とします。
「証明書ファイルをダブルクリックして開く」から始まるその手順書、つまり・・・管理しているPCに手作業で展開することを前提として書かれているようです。ちょっと待ってください、我が社だって一応数百台くらいの規模で対象マシンはあるわけで、しかもこの作業を10日以内に完了しなければ利用に支障を来すサービスが出てくるって・・・。うむむ、これは困りました。

仕方がありません。手順書通りに作業しない場合は「自己責任」という業界内の暗黙のルールは重々理解したうえで(当然同業者の皆さんもすべからくやっているであろう)「グループポリシーによる配布」に方向転換です。
というのも、グループポリシーを使うことができる環境下では驚くほど簡単な手順で展開が可能です。
(以下、自分向けの備忘録を兼ねて)
設定すべき項目は「コンピューターの構成→ポリシー→Windows の設定→セキュリティの設定→公開キーのポリシー」です。この中にある該当する証明書ストアに対して、通常クライアントに設定するときのように証明書をインポートするだけ。本当にただこれだけで、このポリシー配下のPCすべてに証明書が配布されます。

たぶんですが、こういうことは「みんな知ってるでしょ?」ということなのだと思います。だとしても、手順書の最後でいいから「グループポリシーにより配布することも可能です」とか記載があれば安心できるのにな~と思います。「結果的にできた」ということと「それが正しい方法かどうか」ということは全く別の問題だよな~とつぶやいてしまいました。

GPO管理エディタ
むしろこれ以外の方法でどうしろと言うのでしょう

(投稿者:ちゅん)


カテゴリー: つぶやき パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です