Active Directory証明書サービス(AD CS)を使うには?
Windows Serverを認証局にしよう
2010年07月13日 06時00分更新
コンピュータ証明書のインストール
エンタープライズ証明機関の場合、コンピュータ証明書は、グループポリシーを使って簡単に配付できる。なお、ドメインコントローラの証明書はグループポリシーの構成を行なわなくても、自動的に取得される。
- 必要な範囲を持ったポリシー(多くの場合はDefault Domain Policy)の「コンピュータの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「公開キーのポリシー」-「自動証明書要求の設定」を右クリックし、「新規作成」-「自動証明書要求」を選択(画面12)
- 「自動証明書要求のセットアップウィザード」が起動するので「次へ」をクリック
- 利用する証明書テンプレートを指定(画面13)
- 結果を確認して「完了」をクリック
画面12●「自動証明書要求の設定」から「自動証明書要求」を選択
画面13●証明書テンプレートを選択。SSL用途など一般的なコンピュータの場合は「コンピュータ」を、ドメインコントローラ用の証明書の場合は「ドメインコントローラ」選択
コンピュータ証明書のインストールでは、複数のテンプレートを同時に選択することはできない。そのため、必要なテンプレートだけこの作業を繰り返す。取得された証明書のコンピュータ名はFQDN(DNSドメイン階層を含む完全名)である。ドメイン名を省略した名前を使いたい場合は、手動で別の証明書を取得する必要がある。
発行済みの証明書は、管理ツールの「証明機関」で確認できる(画面14)。また、現在インストールされている証明書の一覧は各クライアントの「証明書」スナップインで確認可能だ。MMCコマンドを実行後、「ファイル」メニューから「スナップインの追加と削除」で「証明書」を追加する。「証明書」スナップインでは、ファイルに保存した証明書のインポートや、インストール済み証明書のエクスポート(保存)ができる。
画面14●管理ツール「証明機関」から発行済みの証明書を表示
管理ツールで証明書を無効にすることも可能だ。有効期限以前に無効とすると証明書失効リストとして公開されるが、証明書を使うたびにチェックされるわけではない。あらかじめ決められた間隔(デフォルトは失効リスト全体の更新が1週間に1回、差分情報が1日1回)でサーバにアクセスする。
(次ページ、「証明機関Web登録の構成」に続く)
この連載の記事
- 最終回 スナップショットとクイックマイグレーションを使ってみよう
- 第34回 Hyper-Vの仮想マシンに「統合サービス」を入れよう
- 第33回 Hyper-Vの仮想マシンのハードウェアを設定しよう
- 第32回 Hyper-Vのインストールはネットワークに注意しよう!
- 第31回 Windows Server 2008の仮想化機能「Hyper-V」を活用しよう
- 第30回 Windows Server Update Servicesの活用方法とは?
- 第29回 Windows ServerをWindows Updateサーバにしよう
- 第28回 Active Directoryと連携できるIISの認証機能を理解
- 第27回 Windows Serverの標準Webサーバ「IIS」を活用しよう
- 第26回 Windows ServerのCAでメールを安全に
- 第25回 Windows Server証明書サービスを設定しよう
- この連載の一覧へ
