クライアント証明書のエクスポートについて

Windows ActiveDirectory 内でクライアント証明書を自動配布する場合、配布したクライアント証明書がエクスポートされて不正使用されることを考えてしまいます。

配布時に秘密鍵のエクスポートは制限がかけられます。

秘密鍵のエクスポートができないようにActiveDirectory証明書サービスのテンプレートでフラグをつけます。

制限をしていると、エクスポートウィザードでは以下の画面のように、エクスポートができなくなります。

iPadなどへ証明書を読み込ませる場合は、一時的にエクスポートを許可設定にして、秘密鍵と一緒にiPadへ読み込ませなければいけません。

ちなみに、APPLEでは、PEAP-TLSはサポートしてません。(2012年の時点で）

秘密鍵無しでエクスポートすると、ＩＥでインポートしたときに証明書の分類が「個人」でなく、「他の人」に分類されてしまいます。

この状態だと、認証時にクライアント認証で使用できません。

そうなるとＰＥＡＰ等の認証では、設定時にチェックボックス入れるのは個人証明書だから認証できないということになります。

 秘密鍵ありでエクスポートできた場合は、拡張子が.pfx で上のアイコンでファイルが表示されます。

 秘密鍵なしでエクスポートした場合は、拡張子が.cer で上のアイコンになります。