証明書によるWindowsファイアウォール接続セキュリティ
VMWareベースのLAN(ドメインなし)内の一部のコンピューターのWindowsファイアウォール構成をいじっています。テストとデバッグを支援するために、HTTP要求に応答する小さな自己ホスト型コンソールアプリケーションを作成しました。これは「応答マシン」であり、特定のポート上のコンピューター間の接続を簡単に確認できるようにするためです。
最初の認証(接続セキュリティルール/認証/詳細設定/カスタマイズ)に「事前共有キー」を使用すると、すぐにうまくいきましたが、「この認証局からのコンピューター証明書」に切り替えようとすると、すべてが機能しなくなります。
私は以下を試しました:
- 独自のCAを作成し、すべてのコンピューターで使用するようにファイアウォールを構成しました。
- すべてのコンピューターでVerisign CAを使用するようにファイアウォールを構成します。
- ファイアウォールの「すべて許可」の追加および送信ルールを作成しました。
- ホストコンピュータと別の仮想マシンの両方から「留守番電話」を呼び出す。
- 発信トラフィックの認証を必要とする場合としない場合を試しました。
- ポートなどを指定してみました。
私の考えでは、これはどういうわけか根本的に後退しているので、2つの質問があります。
- コンピューターがドメインに接続されていない場合(登録などで)、証明書ソリューションは不可能ですか?
- 可能であれば、何が欠けていますか?
私はここでMicrosoft TechNetの記事を熟読しました: http://technet.Microsoft.com/en-us/library/deploy_ipsec(v = ws.10).aspx (googled "windows firewall certificate authentication")証明書ベースの認証用の証明書を作成するための証明機関(CA)を設定するためのガイダンス。この情報については、Active Directory証明書サービス(ADCS)( http://go.Microsoft.com/fwlink/?linkid=11082 )を参照してください。
これにより、この件に関するAD TechNetの記事が表示されます。 http://technet.Microsoft.com/en-US/library/cc770357.aspx
証明書で認証するADCSを実装するにはドメインが必要なようです。 (私が見つけたTechNetソースはすべてWindows Server 2008のものでした。)Active Directoryは楽しいものであり(皮肉なこともあります!)、そのルートに進んで高度なセキュリティオプションを構成する必要があるようですWindowsファイアウォール(少なくともCAの場合)。
あなたが機能をテストおよび調査しているとのことですが、あなたが見ているものはあなたが求めている解決策ではないのではないかと思います。 解決しようとしている問題は何ですか?
MSFTファイアウォールは安全なネットワークを可能にし、(MSCSコンサルティングの観点から)次の概念から長年にわたって進化してきました。
- ケルベロス
- IPSec VPN + Windowsファイアウォール
- 「許可された」コンピュータを許可されていないコンピュータから分離する方法としてIPSecを使用する。 (プリミティブ [〜#〜] nap [〜#〜] )
- 直接アクセス
これらの機能のすべてではないにしてもほとんどの場合、PKIが必要です。 ADCSは有効な選択であり、 単一サーバーCA として適切に機能するか、必要に応じてN層ソリューションにスケールアウトできます。
証明書を使用したHTTPでの認証は、これらすべてのソリューションに直交しており、人間が使用する場合は ブラウザ側の問題 のセットがあります( これも を参照)。 モダンクライアント認証 を探している場合 特定のCookie攻撃から も保護する場合は、 Fido を確認する必要があります。
証明書を使用して認証するアプリを作成している場合は、 ADCS Web登録WSDL に興味があるかもしれません。ネットワークデバイス登録サービスはインターネットに接続することを意図したものではなく、特定の状況でそれを使用することに対するガイダンスがあることに注意してください。