[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]] -[[戻る>Active Directory(機能一覧)]] * 目次 [#jbe3242c] #contents * 概要 [#ma489c0a] 公開キー証明書を発行し管理するためのカスタマイズ可能なサービスを提供 * 機能 [#vb1a186a] **証明機関 (CA) [#w48f8aca] 認証局(CA)(ルート CA と下位 CA) は、 証明書を -ユーザー -コンピューター -サービス に発行し、 証明書の有効性を管理する際に使用される。 **CA Web 登録 [#lad36c7a] Web 登録により、Web ブラウザーから CA に接続し、~ 証明書を要求して[[証明書失効リスト (CRL)]]を取得することができる。 **オンライン レスポンダー [#l42aa224] [[OCSP>証明書失効リスト (CRL)#g9c719fb]]により、 オンラインで特定の証明書に対する -失効状態要求の受入 -証明書状態の評価 -証明書状態情報を含む署名付きの応答の返信。 を行う。 **ネットワーク デバイス登録サービス [#i8e4c669] ネットワーク デバイス登録サービスにより、 -ドメイン アカウントを持っていないルーターや -他のネットワーク デバイス が証明書を取得できるようになる。 **証明書の登録 Web サービス [#v287c04c] ユーザーやコンピューターが HTTPS プロトコルを使用した証明書の登録を実行できる。 -クライアント コンピューターがドメインのメンバーでない場合や、 -ドメイン メンバーが自身のドメインに接続していない場合に、 ポリシー ベースの証明書の登録を可能にする。 **証明書の登録ポリシー Web サービス [#i2e11d9a] ユーザーやコンピューターが証明書の登録ポリシー情報を取得できる。 証明書の登録 Web サービスと合わせて使用することで、 -クライアント コンピューターがドメインのメンバーでない場合や、 -ドメイン メンバーが自身のドメインに接続していない場合に、 ポリシー ベースの証明書の登録を可能にする。 *CAの種類 [#naee6320] -証明機関の種類~ https://technet.microsoft.com/ja-jp/library/cc732368.aspx **階層 [#wc6d7c45] ***ルートCA [#n708f223] -下位CAにのみ証明書を発行 -ネットワーク上のユーザーやコンピューター、ネットワーク機器には証明書を発行しない。 -オフラインルートCA --ネットワーク経由の攻撃から保護できることが運用上の大きなメリット。 --チェックリスト : オフラインのルート証明機関を使って証明階層を作成する~ https://msdn.microsoft.com/ja-jp/library/cc737834.aspx ***中間CA [#cea6a41a] ルートCAと同様に、下位CA([[3階層>#r9c54948]]の場合は、発行CA)にのみ証明書を発行する。 ***発行CA [#w6468cf2] ネットワーク上のユーザーやコンピューター、ネットワーク機器に証明書を発行する。 **インストール・オプション [#d08d6f5b] ***スタンドアロンCA [#b683c206] -スタンドアロン証明機関~ https://technet.microsoft.com/ja-jp/library/cc755290.aspx --[[Active Directory]]の[[ドメイン サービス (AD DS)]]が不要。 --証明書要求をスタンドアロン CA に送信するときに、 ---ユーザーの識別情報を提供する ---必要な証明書の種類を指定する --証明書テンプレートは使用されない。 --管理者は証明書要求の確認タスクを実行する必要がある。 ---証明書要求は、スタンドアロン CA の管理者が送信情報を確認してその要求を承認するまで、すべてが保留状態に設定される。 ---スタンドアロン CA では証明書の要求者の資格情報は確認されないため、管理者が証明書要求の確認タスクを実行する必要がある。 --管理者か、ユーザー自身がスタンドアロン CA の証明書を~ ドメイン ユーザーの信頼されたルート ストアに明示的に配布する必要がある。 --[[ドメイン サービス (AD DS)]]を使用した場合の追加機能~ Domain Admins グループのメンバー、AD DS への書き込みアクセス権を持つ管理者がスタンドアロン CA をインストールした場合、 ---ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関証明書ストアに、その CA が自動的に追加される。 ---CA 証明書と証明書失効リスト (CRL) を AD DS に発行する。 -用例 --オフラインの信頼されるルートCA として使用する。 --ネットワーク経由でクライアントに証明書を発行する。 -構成 --下位CAに証明書を発行する[[ルートCA>#n708f223]]や[[中間CA>#cea6a41a]]は、スタンドアロンCAとしてインストールする。 --通常、スタンドアロンCAは、ワークグループのスタンドアロンサーバーにインストールする。 ***エンタープライズCA [#bb8aad4c] -エンタープライズ証明機関~ https://technet.microsoft.com/ja-jp/library/cc771443.aspx --[[Active Directory]]の[[ドメイン サービス (AD DS)]]へのアクセスが必要。 ---GPOを使用して、ドメイン内のすべてのユーザーおよびコンピューターの、信頼されたルート証明機関証明書ストアに証明書を伝達する。 ---エンタープライズCAが Certificate Publishers グループのメンバーである場合、ユーザー証明書および証明書失効リスト (CRL) を AD DS に発行する。 --証明書テンプレートに基づいて証明書を発行する。 ---エンタープライズ ユーザーの情報は[[ドメイン サービス (AD DS)]]に既に登録されていて、~ 証明書の種類は証明書テンプレートに記述されているため、証明書テンプレートの選択操作を行う必要はない。 ---要求の認証情報は、ローカル コンピューターのセキュリティ アカウント マネージャー データベースから取得される。 ---証明書テンプレートにはAD DS でのセキュリティのアクセス許可セットがある。 ---ポリシー モジュールにより、証明書およびその用途に関して証明書の要求者が指定する必要のある情報量を減らすことができる。 --管理者は証明書要求の確認タスクを実行する必要がない。 ---自動登録を使用して証明書を発行できる。 -用例 --[[発行CA>#w6468cf2]]は、エンタープライズCAとしてインストールする。 -構成 --ドメインに参加したメンバーサーバーにインストールする。 *階層構成 [#ic0c4c3a] -証明機関の階層~ https://msdn.microsoft.com/ja-jp/library/cc781292.aspx **1階層のCA [#c79571ed] ***要件 [#a24f8021] -管理作業の簡略化やコストの最小化 -セキュリティポリシーで「オフラインルートCA」の実装が要求されていない場合 ***構成 [#a08e0c12] ドメインに参加しているメンバーサーバーに対し、~ [[ルートCA>#n708f223]]と[[発行CA>#w6468cf2]]の二つの役割を持つエンタープライズCAをインストールする。 **2階層のCA [#u5c2b232] ***要件 [#h6af7464] -[[ルートCA>#n708f223]]と[[発行CA>#w6468cf2]]が配置される。 -[[ルートCA>#n708f223]]は“オフライン”で運用することが推奨される。 ***構成 [#p2d73909] -ワークグループのスタンドアロンサーバーにスタンドアロンCAをインストールして[[ルートCA>#n708f223]](オフラインルートCA)の役割を持たせ、 -ドメインに参加しているメンバーサーバーにエンタープライズCAをインストールして[[発行CA>#w6468cf2]]の役割を持たせる。 **3階層のCA [#r9c54948] ***要件 [#n362dad0] 最大限のセキュリティと柔軟性を確保することが可能 -セキュリティポリシーでCA階層の物理的なセキュリティが必須要件として規定されている -複数の保証レベルで証明書を発行 -CAの管理責任を分担する ***構成 [#k9b5b273] -[[ルートCA>#n708f223]] --オフラインルートCA --スタンドアロンCA ◆◆◆ -[[中間CA>#cea6a41a]] --スタンドアロンCA ◆◆◆ -[[発行CA>#w6468cf2]] --エンタープライズCA * 参考 [#u15a001f] -Active Directory 証明書サービス~ https://technet.microsoft.com/ja-jp/windowsserver/dd448615.aspx -Active Directory 証明書サービス~ https://technet.microsoft.com/ja-jp/library/cc770357.aspx --Active Directory 証明書サービスの概要~ https://technet.microsoft.com/ja-jp/library/cc731564.aspx --Active Directory 証明書サービスの役割~ https://technet.microsoft.com/library/cc753254.aspx --AD CS の新機能~ https://technet.microsoft.com/library/hh831373.aspx --ステップ バイ ステップ ガイド~ Windows Server Active Directory 証明書サービス~ https://technet.microsoft.com/library/cc772393.aspx -@IT - 基礎から学ぶサーバーマネージャーの使い方~ Active Directory証明書サービスでセキュアな公開鍵基盤を構築する~ --(1) (1/2)~ http://www.atmarkit.co.jp/ait/articles/1508/28/news021.html --(2) (1/3)~ http://www.atmarkit.co.jp/ait/articles/1509/17/news016.html