このページの本文へ

Windows Serverで学ぶサーバOS入門 第24回

Active Directory証明書サービス(AD CS)を使うには?

Windows Serverを認証局にしよう

2010年07月13日 06時00分更新

文● 横山哲也/グローバルナレッジネットワーク株式会社

  • この記事をはてなブックマークに追加
  • 本文印刷

コンピュータ証明書のインストール

 エンタープライズ証明機関の場合、コンピュータ証明書は、グループポリシーを使って簡単に配付できる。なお、ドメインコントローラの証明書はグループポリシーの構成を行なわなくても、自動的に取得される。

  1. 必要な範囲を持ったポリシー(多くの場合はDefault Domain Policy)の「コンピュータの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「公開キーのポリシー」-「自動証明書要求の設定」を右クリックし、「新規作成」-「自動証明書要求」を選択(画面12)
  2. 画面12●「自動証明書要求の設定」から「自動証明書要求」を選択

  3. 「自動証明書要求のセットアップウィザード」が起動するので「次へ」をクリック
  4. 利用する証明書テンプレートを指定(画面13)
  5. 画面13●証明書テンプレートを選択。SSL用途など一般的なコンピュータの場合は「コンピュータ」を、ドメインコントローラ用の証明書の場合は「ドメインコントローラ」選択

  6. 結果を確認して「完了」をクリック

 コンピュータ証明書のインストールでは、複数のテンプレートを同時に選択することはできない。そのため、必要なテンプレートだけこの作業を繰り返す。取得された証明書のコンピュータ名はFQDN(DNSドメイン階層を含む完全名)である。ドメイン名を省略した名前を使いたい場合は、手動で別の証明書を取得する必要がある。

 発行済みの証明書は、管理ツールの「証明機関」で確認できる(画面14)。また、現在インストールされている証明書の一覧は各クライアントの「証明書」スナップインで確認可能だ。MMCコマンドを実行後、「ファイル」メニューから「スナップインの追加と削除」で「証明書」を追加する。「証明書」スナップインでは、ファイルに保存した証明書のインポートや、インストール済み証明書のエクスポート(保存)ができる。

画面14●管理ツール「証明機関」から発行済みの証明書を表示

 管理ツールで証明書を無効にすることも可能だ。有効期限以前に無効とすると証明書失効リストとして公開されるが、証明書を使うたびにチェックされるわけではない。あらかじめ決められた間隔(デフォルトは失効リスト全体の更新が1週間に1回、差分情報が1日1回)でサーバにアクセスする。

(次ページ、「証明機関Web登録の構成」に続く)


 

カテゴリートップへ

この連載の記事

アクセスランキング

集計期間:
2022年05月18日~2022年05月24日
  • アスキー・メディアワークス
  • 角川アスキー総合研究所
  • アスキーカード
  • アスキーの本と雑誌
  • 電撃オンライン - 電撃の総合ゲーム情報&雑誌情報サイト!
  • 電撃ホビーWEB - 電撃のホビー雑誌・書籍&ホビーニュースサイト
  • 電撃文庫 - 電撃文庫&電撃文庫MAGAZINEの公式サイト
  • 電撃屋.com - 電撃のアイテムを集めた公式ショッピングサイト!