IISでAD発行のコンピューター証明書を使用しても問題ありませんか?
AD-Certificate Servicesを使用して、ドメインに参加しているWindowsコンピューター(サーバーとワークステーションの両方)にコンピューター証明書を発行しています。これらの証明書は、Active Directoryによって定義された自動登録プロセスを介して取得されます。
私の質問は次のとおりです:これらのコンピューター証明書に正しいOID詳細がある場合、IISを実行しているサーバーのhttpsバインディングにそれらを使用しない理由はありますか?これらのWebサーバーにアクセスするすべてのシステムは内部にあり、 ADCS PKI。
編集:明確にするために、ドメインメンバーシップの一部として発行されたコンピューター証明書の使用について具体的に質問します。
ローカル証明書の実行に問題はありません。多くの企業では、AD-Certificate Servicesなどの内部CAを使用して、サーバーの証明書の作成を管理および自動化しています。証明書をクライアントに配布し、秘密鍵を安全に保護している限り、パブリックCAと同じくらい安全です。
iISを実行しているサーバーのhttpsバインディングにそれらを使用しない理由はありますか?
いいえ。
証明書がどこから来たかは、それが信頼されていて、それを使用するつもりであることに適切なx509拡張を持っている限り、無関係です。