Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
公開キー証明書を発行し管理するためのカスタマイズ可能なサービスを提供
機能 †
証明機関 (CA) †
認証局(CA)(ルート CA と下位 CA) は、
証明書を
に発行し、
証明書の有効性を管理する際に使用される。
CA Web 登録 †
Web 登録により、Web ブラウザーから CA に接続し、
証明書を要求して証明書失効リスト (CRL)を取得することができる。
オンライン レスポンダー †
OCSPにより、
オンラインで特定の証明書に対する
- 失効状態要求の受入
- 証明書状態の評価
- 証明書状態情報を含む署名付きの応答の返信。
を行う。
ネットワーク デバイス登録サービス †
ネットワーク デバイス登録サービスにより、
- ドメイン アカウントを持っていないルーターや
- 他のネットワーク デバイス
が証明書を取得できるようになる。
証明書の登録 Web サービス †
ユーザーやコンピューターが HTTPS プロトコルを使用した証明書の登録を実行できる。
- クライアント コンピューターがドメインのメンバーでない場合や、
- ドメイン メンバーが自身のドメインに接続していない場合に、
ポリシー ベースの証明書の登録を可能にする。
証明書の登録ポリシー Web サービス †
ユーザーやコンピューターが証明書の登録ポリシー情報を取得できる。
証明書の登録 Web サービスと合わせて使用することで、
- クライアント コンピューターがドメインのメンバーでない場合や、
- ドメイン メンバーが自身のドメインに接続していない場合に、
ポリシー ベースの証明書の登録を可能にする。
CAの種類 †
階層 †
ルートCA †
- 下位CAにのみ証明書を発行
- ネットワーク上のユーザーやコンピューター、ネットワーク機器には証明書を発行しない。
中間CA †
ルートCAと同様に、下位CA(3階層の場合は、発行CA)にのみ証明書を発行する。
発行CA †
ネットワーク上のユーザーやコンピューター、ネットワーク機器に証明書を発行する。
インストール・オプション †
スタンドアロンCA †
- 証明書要求をスタンドアロン CA に送信するときに、
- ユーザーの識別情報を提供する
- 必要な証明書の種類を指定する
- 管理者は証明書要求の確認タスクを実行する必要がある。
- 証明書要求は、スタンドアロン CA の管理者が送信情報を確認してその要求を承認するまで、すべてが保留状態に設定される。
- スタンドアロン CA では証明書の要求者の資格情報は確認されないため、管理者が証明書要求の確認タスクを実行する必要がある。
- 管理者か、ユーザー自身がスタンドアロン CA の証明書を
ドメイン ユーザーの信頼されたルート ストアに明示的に配布する必要がある。
- ドメイン サービス (AD DS)を使用した場合の追加機能
Domain Admins グループのメンバー、AD DS への書き込みアクセス権を持つ管理者がスタンドアロン CA をインストールした場合、
- ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関証明書ストアに、その CA が自動的に追加される。
- CA 証明書と証明書失効リスト (CRL) を AD DS に発行する。
- 用例
- オフラインの信頼されるルートCA として使用する。
- ネットワーク経由でクライアントに証明書を発行する。
- 構成
- 下位CAに証明書を発行するルートCAや中間CAは、スタンドアロンCAとしてインストールする。
- 通常、スタンドアロンCAは、ワークグループのスタンドアロンサーバーにインストールする。
エンタープライズCA †
- 証明書テンプレートに基づいて証明書を発行する。
- エンタープライズ ユーザーの情報はドメイン サービス (AD DS)に既に登録されていて、
証明書の種類は証明書テンプレートに記述されているため、証明書テンプレートの選択操作を行う必要はない。
- 要求の認証情報は、ローカル コンピューターのセキュリティ アカウント マネージャー データベースから取得される。
- 証明書テンプレートにはAD DS でのセキュリティのアクセス許可セットがある。
- ポリシー モジュールにより、証明書およびその用途に関して証明書の要求者が指定する必要のある情報量を減らすことができる。
- 管理者は証明書要求の確認タスクを実行する必要がない。
- 用例
- 発行CAは、エンタープライズCAとしてインストールする。
- 構成
- ドメインに参加したメンバーサーバーにインストールする。
階層構成 †
1階層のCA †
要件 †
- 管理作業の簡略化やコストの最小化
- セキュリティポリシーで「オフラインルートCA」の実装が要求されていない場合
構成 †
ドメインに参加しているメンバーサーバーに対し、
ルートCAと発行CAの二つの役割を持つエンタープライズCAをインストールする。
2階層のCA †
要件 †
構成 †
- ワークグループのスタンドアロンサーバーにスタンドアロンCAをインストールしてルートCA(オフラインルートCA)の役割を持たせ、
- ドメインに参加しているメンバーサーバーにエンタープライズCAをインストールして発行CAの役割を持たせる。
3階層のCA †
要件 †
最大限のセキュリティと柔軟性を確保することが可能
- セキュリティポリシーでCA階層の物理的なセキュリティが必須要件として規定されている
- 複数の保証レベルで証明書を発行
- CAの管理責任を分担する
構成 †
◆◆◆
◆◆◆
参考 †
- @IT - 基礎から学ぶサーバーマネージャーの使い方
Active Directory証明書サービスでセキュアな公開鍵基盤を構築する