読者です 読者をやめる 読者になる 読者になる

AD FSトークン署名のSHA-1対応

グーグルとオランダの研究機関による、中核的な暗号技術「SHA-1」の解読に成功したニュースを見て、身の回りでSHA-1のハッシュアルゴリズムを利用している証明書がないかを確認し、Windows Server 2012 R2で動作するAD FSのトークン署名を思い出した。

AD FSではトークン署名のアルゴリズムとして、SHA-1とSHA-256に対応をしている。
例えばOffice 365の証明書利用者信頼では、既定値でSHA-1が選択される。
AD FSと連携している各アプリケーションのトークン署名のアルゴリズムがSHA-256に対応しているということであれば、AD FS側でSHA-1からSHA-256に設定を検討が必要である。
※Office 365はSHA-256に対応している。
手順は以下なるが、変更後の動作確認を念入りに実施してほしい。

1. プライマリ AD FS サーバーに管理者権限でログオンする。
2. [信頼関係] - [証明書利用者信頼] をクリックする。
3. 対象の証明書利用者信頼 (例 : Microsoft Office 365 Identity Platform) を右クリックし、[プロパティ] をクリックする。
4. [詳細設定] タブより、[セキュア ハッシュ アルゴリズム] ドロップダウン リストから [SHA-256] を選択し、[OK] をクリックする。

 

参考資料

https://technet.microsoft.com/windows-server-docs/identity/ad-fs/design/ad-fs-requirements