全体表示

[ リスト ]

■AD CSについて

Active Directory 証明書サービス(AD CS)では以下の2種類のCAをサポート

・エンタープライズCA
 通常はユーザーやコンピュータに証明書を発行する発行元CAとして使用される
 ドメインに参加しているコンピュータにのみ構成可能
 証明書の自動発行も可能

・スタンドアロンCA
 通常はオフラインCAとして使用され、使用するときのみオンラインにする。
 ワークグループ環境でも構築可能
 証明書の自動発行はできないため手動で発行する必要がある

CA階層について
上記2種類のCAを階層で構成することが可能
CAの証明書を自分自身で発行することも可能だが、より高いセキュリティを求めるなら
階層を構成することでCA自身の証明書を信頼性の高い他のCAから発行する


■証明書テンプレート

規定で33種類用意されている
エンタープライズCAのみ使用可能
テンプレートはActiveDirectoryデータベースに格納される(フォレスト全体で共通のテンプレートが使用可能)

バージョンについて
3種類のバージョンがある

・バージョン1
下位バージョン(Windows2000以降)で使用可能
変更/削除ができない(複製をしてバージョン2,3にすれば変更可能)

・バージョン2
Windows 2003、Windows 2008を実行しているCAのみで使用可能
変更可能

・バージョン3
Windows2008実行しているCAのみで使用可能で
Windows2008、Vistaを実行しているコンピュータのみ使用できる
従来のバージョンよりより高度な暗号化設定を証明書に追加できる

■証明書の登録

手動登録

・各種アプリケーション
・WEB登録
 http://<サーバー名>/certsrv にて要求可能''
・「証明書」スナップイン(スタンドアロンCAは不可)

自動登録

<Step1:「自動登録を許可する証明書テンプレートを構成する」>
1.mmcを実行
2.「証明書テンプレート」スナップインを追加
3.左側ペインの「詳細テンプレート」を選択する
4.右側ペインのテンプレート一覧から「ユーザー」テンプレートを右クリックし、[テンプレートの複製]を選択
5.テンプレートの複製画面で[OK]をクリック
6.「テンプレート表示名」に新しい名前を入力
7.[Active Directoryの証明書を発行する]にチェックが入っていることを確認
8.[セキュリティ]タブをクリックし、自動登録を許可するユーザーまたはグループを追加し、
 [登録]と[自動登録]のアクセス許可のチェックボックスにチェックを入れる

<Step2:構成したテンプレートをCAに追加する>
1.[管理ツール]-[証明機関]を起動
2.左側ペインにて「証明書テンプレート」を右クリックし、[新規作成]-[発行する証明書テンプレート]をクリック
3.STEP1で作成したテンプレートを選択し、[OK]

<グループポリシーで自動登録ポリシーを構成する>
1.[グループポリシーの管理]を起動
2.[フォレスト]-[ドメイン]-[<ドメイン名>]-[グループポリシーオブジェクト]を選択
3.「Default Domain Policy」を右クリックし、[編集]
4.[ユーザーの構成]-[ポリシー]-[Windowsの設定]-[セキュリティ設定]-[公開キーのポリシー]まで展開
5.「証明書サービス クライアント-自動登録」のプロパティを開き「構成モデル」を有効にする
6.[有効期限が切れた証明書を更新、保留中の証明書を更新、及び破棄された証明書を削除する] チェック ボックスをオンにします。
7.[証明書テンプレートを使用する証明書を更新する] チェック ボックスをオンにし、[OK] をクリックします。

スマートカード登録
・エンタープライズCAのみ使用可能
・代理者がユーザーの代わりにスマートカードに証明書をインストールするには登録エージェントとして構成されている必要がある
・規定ではドメイン管理者のみにアクセス許可がある

<Step1:登録エージェントを許可する証明書テンプレートの作成>
※CA管理者が操作
1.mmcを実行
2.「証明書テンプレート」スナップインを追加
3.左側ペインの「詳細テンプレート」を選択する
4.右側ペインのテンプレート一覧から「登録エージェント」テンプレートを右クリックし、[テンプレートの複製]を選択
5.「テンプレート表示名」に新しい名前を入力
6.[セキュリティ]タブをクリックし、登録を許可するユーザーまたはグループを追加し、
 [登録]のアクセス許可のチェックボックスにチェックを入れる

<Step2:構成したテンプレートをCAに追加する>
1.[管理ツール]-[証明機関]を起動
2.左側ペインにて「証明書テンプレート」を右クリックし、[新規作成]-[発行する証明書テンプレート]をクリック
3.STEP1で作成したテンプレートを選択し、[OK]

<Step3:登録エージェントとなるユーザーが「登録エージェント証明書」を登録する>
※証明書を登録するユーザー(代理者)が操作
※上記ユーザーで登録はできるが失効はできない(失効はCA管理者で行う)
1.登録エージェントとなるユーザーが[証明書]スナップインを起動し、[証明書]-[個人]をクリック
2.[個人]を右クリックし、[すべてのタスク]-[新しい証明書の要求]を選択
3.次へと進み「登録エージェント証明書」のチェックボックスにチェックを入れて[登録]をクリック


■証明証の失効

<手順>
1.「証明証」スナップインを起動、左側ペインのツリーより[発行した証明書]をクリック
2.失効させたい証明書を右クリックし、[すべてのタスク]-[証明書の失効]を選択

■CAのバックアップと復元

バックアップ可能な情報
 ・秘密キー
 ・証明機関(CA)証明書
 ・構成情報
 ・発行された証明書のログ
 ・保留中の証明書の要求キュー

<バックアップ手順>
1「.証明機関」スナップインを起動
2.コンソールツリーのCAを右クリックし、[すべてのタスク]-[CAのバックアップ]を選択
3.ウィザードが起動するので[次へ]
4.バックアップを作成する項目と保存先を指定し、[次へ]
 ※バックアップフォルダは空フォルダである必要がある
5.パスワードを設定し[次へ]
6.[完了]をクリック

コマンド
 certutil -backup <バックアップファイルの格納先>

<復元手順>
1「.証明機関」スナップインを起動
2.コンソールツリーのCAを右クリックし、[すべてのタスク]-[CAの復元を選択
3.AD CSを停止する旨の確認画面が表示されるので[OK]
4.ウィザードが起動するので[次へ]
5.復元する項目とバックアップファイルを指定し、[次へ]
6.パスワードを入力
7.完了をクリック

コマンド
 certutil -restore <バックアップファイルの保存場所>

この記事に

閉じる コメント(0)

コメント投稿

顔アイコン

顔アイコン・表示画像の選択

名前パスワードブログ
絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
投稿

.


みんなの更新記事