エンタープライズのルート証明機関の構築方法とは?
Windows Server証明書サービスを設定しよう
2010年07月20日 09時00分更新
証明書テンプレートの作成
証明書にはさまざまな情報を含めることができる。そのため、手作業で登録すると漏れが生じる恐れがある。エンタープライズ証明機関では、証明書に含める情報をテンプレートとして登録し、必要な項目を指定できる。たとえば、暗号化メール用の証明書テンプレートを作成する場合、証明すべき内容(サブジェクト)は電子メールアドレスだ。また、証明書の目的に「電子メールの保護」を指定する。
エンタープライズ証明機関では、Active Directoryと連係していることを活かして、セキュリティを構成することもできる。これにより、そのテンプレートを利用可能なセキュリティグループを制限可能だ。一般的な証明機関では、証明書の発行の可否は人間が決める。しかし、それでは大量の証明書を発行するのは困難である。セキュリティグループによる制限をかけることで、証明書発行の可否をセキュリティグループ単位で制御できる。たとえば、電子メールの暗号化を行なえるユーザーを特定の役職に限定可能だ。
証明書テンプレートにはWindows 2000互換のバージョン1、Windows Server 2003以降で使えるバージョン2、Windows Server 2008以降で使えるバージョン3がある。バージョン1にはテンプレートの追加機能はない。Windows 2000でユーザー証明書の自動発行ができないのはこのためだ。また、バージョン3では暗号化アルゴリズムなどが追加されている。
証明書テンプレートの作成は以下の手順で行なう。
(1)管理捜査の開始
管理ツールの「証明機関」を起動し、「証明書テンプレート」を右クリックして「管理」を選択(画面3)
画面3●証明書テンプレートの作成
(2)テンプレートの複製
証明書テンプレート管理ツールで基準にしたい既存テンプレートを右クリックし、「テンプレート複製」を選択。ここでは「ユーザー」証明書を選択する(画面4)
画面4●「ユーザー」という名称の証明書を選択
(3)バージョンの選択
証明書テンプレートのバージョンを選択し、「OK」をクリック。ここではWindows 2008を選択する(画面5)
画面5●バージョンの選択
(4)テンプレートの属性を変更・確認
ここでは表1の値を設定・確認する。特にテンプレート表示名の指定を必ず行なう(画面6~8)。テンプレート名はテンプレート表示名と連動するが、変更することもできる。その他のパラメータは基準となったテンプレートの値が継承される
表1●証明書テンプレートの設定項目
画面6~8●テンプレートの属性を設定する(表1も参照のこと)
(5)設定の完了
必要な属性を設定したら「OK」をクリックする
以上で、テンプレートの作成(複製)は完了だ。
(次ページ、「証明書テンプレートの発行」に続く)
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に - この連載の一覧へ
