このページの本文へ

Windows Serverで学ぶサーバOS入門第24回

Active Directory証明書サービス(AD CS)を使うには?

Windows Serverを認証局にしよう

2010年07月13日 06時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

ルート証明機関の登録

 社内でルート証明機関を構成した場合、その証明機関を信頼する必要がある。信頼されないルート証明機関は機能が制限され、警告が毎回表示される。ルート証明機関を信頼するもっとも簡単な方法は、グループポリシーを使う方法だ。いずれの場合も、エンタープライズ証明機関、スタンドアロン証明機関を問わず構成できる。

 ルート証明機関を信頼する場合、最初に証明機関の証明書を取り出し(エクスポート)、続いてグループポリシーの項目としてその証明書をインポートする手順となる。

ルート証明機関のエクスポート

  1. 管理ツールの「証明機関」で、サーバ名を右クリックしてプロパティを選ぶ(画面6)
  2. 画面6●管理ツールの「証明書機関」からプロパティを表示
  3. プロパティが表示されるので、「全般」タブの「証明書を表示」をクリック(画面7)
  4. 画面7●証明書を選択し、「証明書の表示」をクリックする
  5. 証明書の内容が表示されるので、「ファイルにコピー」をクリック(画面8)
  6. 画面8●「ファイルにコピー」をクリックし、証明書を保存する
  7. 「証明書のエクスポートウィザード」が始まる
  8. 証明書ファイルの形式を選択して「次へ」をクリック(画面9)
  9. 画面9●保存する証明書ファイルの形式を選択する。ただし、この場合はどれを選んでも同じだ
  10. 保存する証明書のファイル名を指定

グループポリシーに証明書をインポート

  1. 必要な範囲を持ったポリシー(多くの場合はDefault Domain Policy)の「コンピュータの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「公開キーのポリシー」-「信頼されたルート証明機関」を右クリックし、「インポート」を選択(画面10)
  2. 画面10●「信頼されたルート証明機関」からインポートを選ぶ
  3. 「証明書のインポートウィザード」が起動。証明書ファイルを指定する(画面11)
  4. 画面11●インポートする証明書ファイルを選択
  5. 「証明書ストア」で、「信頼されたルート証明機関」が指定されていることを確認

 このあと、ドメインコントローラで最大5分、クライアントの場合は最大120分以内にポリシーが更新される。すぐに更新を適用したい場合は、クライアント上でGPUPDATEコマンドを実行すればよい。

(次ページ、「コンピュータ証明書のインストール」に続く)


 

この連載の記事
ピックアップ