エンタープライズのルート証明機関の構築方法とは？

Windows Server証明書サービスを設定しよう

2010年07月20日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

前回は、公開鍵暗号の原理から始まり、電子証明書の基礎知識の説明を行なった。続いては、いよいよWindows Serverで電子証明書を利用するための方法を解説しよう。

証明機関の構成

　Active Directory環境で証明書を使う場合、もっとも便利な構成は「エンタープライズのルート証明機関」である。今回も、エンタープライズのルート証明機関を使用する。

　エンタープライズ証明機関は、Active Directoryと連係した証明書を発行する。たとえば、ユーザー証明書を作成するときは、ユーザーの名前やメールアドレスなどの属性はActive Directoryから入手する。また、証明書のために作成した公開鍵はActive Directory属性として保存される（画面1、2）

画面1●Active Directoryに格納された公開鍵を表示

画面2●証明書はActive Directoryの属性として格納される

　ほとんどの企業内ネットワークでは、Active Directoryの登録情報がセキュリティ上もっとも信頼できる情報と考えられる。そのため、ドメインコントローラへのセキュリティ対策が非常に重要であり、それ以上のセキュリティ対策をほかのサーバに対して行なっても意味はない。これは、証明機関も例外ではない。もしドメインコントローラの登録情報が信頼できないとしたら、企業内ネットワークのセキュリティは根本的に崩れる。証明機関だけが正しくても意味がないわけだ。

証明書の自動発行

　前回は、グループポリシーを使って、コンピュータの証明書を自動発行する仕組みを紹介した。今回は、ユーザー証明書の自動発行を構成する。ユーザー証明書を自動発行することで、電子メールの署名や暗号化を簡単に構成できる。証明書を使った電子メール暗号化は、S/MIMEとして標準化されており、暗号化のほか、メール送信者の詐称を防止するためにも使われている。

　ユーザー証明書の自動発行は、証明書テンプレートの変更が必要である。この機能はWindows Server 2008/2003 Enterprise以上の機能なので、Standardでは使用できない。また、Windows 2000 Serverでも使用できない。

　ユーザー証明書の自動発行手順の概要は以下の通りである。