マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

公開キー証明書を発行し管理するためのカスタマイズ可能なサービスを提供

機能

証明機関 (CA)

認証局(CA)(ルート CA と下位 CA) は、

証明書を

  • ユーザー
  • コンピューター
  • サービス

に発行し、

証明書の有効性を管理する際に使用される。

CA Web 登録

Web 登録により、Web ブラウザーから CA に接続し、
証明書を要求して証明書失効リスト (CRL)を取得することができる。

オンライン レスポンダー

OCSPにより、

オンラインで特定の証明書に対する

  • 失効状態要求の受入
  • 証明書状態の評価
  • 証明書状態情報を含む署名付きの応答の返信。

を行う。

ネットワーク デバイス登録サービス

ネットワーク デバイス登録サービスにより、

  • ドメイン アカウントを持っていないルーターや
  • 他のネットワーク デバイス

が証明書を取得できるようになる。

証明書の登録 Web サービス

ユーザーやコンピューターが HTTPS プロトコルを使用した証明書の登録を実行できる。

  • クライアント コンピューターがドメインのメンバーでない場合や、
  • ドメイン メンバーが自身のドメインに接続していない場合に、

ポリシー ベースの証明書の登録を可能にする。

証明書の登録ポリシー Web サービス

ユーザーやコンピューターが証明書の登録ポリシー情報を取得できる。

証明書の登録 Web サービスと合わせて使用することで、

  • クライアント コンピューターがドメインのメンバーでない場合や、
  • ドメイン メンバーが自身のドメインに接続していない場合に、

ポリシー ベースの証明書の登録を可能にする。

CAの種類

階層

ルートCA

  • 下位CAにのみ証明書を発行
  • ネットワーク上のユーザーやコンピューター、ネットワーク機器には証明書を発行しない。
  • オフラインルートCA

中間CA

ルートCAと同様に、下位CA(3階層の場合は、発行CA)にのみ証明書を発行する。

発行CA

ネットワーク上のユーザーやコンピューター、ネットワーク機器に証明書を発行する。

インストール・オプション

スタンドアロンCA

  • 証明書要求をスタンドアロン CA に送信するときに、
    • ユーザーの識別情報を提供する
    • 必要な証明書の種類を指定する
  • 証明書テンプレートは使用されない。
  • 管理者は証明書要求の確認タスクを実行する必要がある。
    • 証明書要求は、スタンドアロン CA の管理者が送信情報を確認してその要求を承認するまで、すべてが保留状態に設定される。
    • スタンドアロン CA では証明書の要求者の資格情報は確認されないため、管理者が証明書要求の確認タスクを実行する必要がある。
  • 管理者か、ユーザー自身がスタンドアロン CA の証明書を
    ドメイン ユーザーの信頼されたルート ストアに明示的に配布する必要がある。
  • ドメイン サービス (AD DS)を使用した場合の追加機能
    Domain Admins グループのメンバー、AD DS への書き込みアクセス権を持つ管理者がスタンドアロン CA をインストールした場合、
    • ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関証明書ストアに、その CA が自動的に追加される。
    • CA 証明書と証明書失効リスト (CRL) を AD DS に発行する。
  • 用例
    • オフラインの信頼されるルートCA として使用する。
    • ネットワーク経由でクライアントに証明書を発行する。
  • 構成
    • 下位CAに証明書を発行するルートCA中間CAは、スタンドアロンCAとしてインストールする。
    • 通常、スタンドアロンCAは、ワークグループのスタンドアロンサーバーにインストールする。

エンタープライズCA

  • エンタープライズ証明機関
    https://technet.microsoft.com/ja-jp/library/cc771443.aspx
    • Active Directoryドメイン サービス (AD DS)へのアクセスが必要。
      • GPOを使用して、ドメイン内のすべてのユーザーおよびコンピューターの、信頼されたルート証明機関証明書ストアに証明書を伝達する。
      • エンタープライズCAが Certificate Publishers グループのメンバーである場合、ユーザー証明書および証明書失効リスト (CRL) を AD DS に発行する。
  • 証明書テンプレートに基づいて証明書を発行する。
    • エンタープライズ ユーザーの情報はドメイン サービス (AD DS)に既に登録されていて、
      証明書の種類は証明書テンプレートに記述されているため、証明書テンプレートの選択操作を行う必要はない。
    • 要求の認証情報は、ローカル コンピューターのセキュリティ アカウント マネージャー データベースから取得される。
    • 証明書テンプレートにはAD DS でのセキュリティのアクセス許可セットがある。
    • ポリシー モジュールにより、証明書およびその用途に関して証明書の要求者が指定する必要のある情報量を減らすことができる。
  • 管理者は証明書要求の確認タスクを実行する必要がない。
    • 自動登録を使用して証明書を発行できる。
  • 用例
    • 発行CAは、エンタープライズCAとしてインストールする。
  • 構成
    • ドメインに参加したメンバーサーバーにインストールする。

階層構成

1階層のCA

要件

  • 管理作業の簡略化やコストの最小化
  • セキュリティポリシーで「オフラインルートCA」の実装が要求されていない場合

構成

ドメインに参加しているメンバーサーバーに対し、
ルートCA発行CAの二つの役割を持つエンタープライズCAをインストールする。

2階層のCA

要件

構成

  • ワークグループのスタンドアロンサーバーにスタンドアロンCAをインストールしてルートCA(オフラインルートCA)の役割を持たせ、
  • ドメインに参加しているメンバーサーバーにエンタープライズCAをインストールして発行CAの役割を持たせる。

3階層のCA

要件

最大限のセキュリティと柔軟性を確保することが可能

  • セキュリティポリシーでCA階層の物理的なセキュリティが必須要件として規定されている
  • 複数の保証レベルで証明書を発行
  • CAの管理責任を分担する

構成

  • ルートCA
    • オフラインルートCA
    • スタンドアロンCA

◆◆◆

◆◆◆

参考


Tags: :Active Directory, :認証基盤, :セキュリティ, :暗号化, :証明書


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-03-27 (月) 15:13:44 (1165d)