証明書サービス (AD CS)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Active Directory(機能一覧)]]
* 目次 [#jbe3242c]
#contents
* 概要 [#ma489c0a]
公開キー証明書を発行し管理するためのカスタマイズ可能なサ...
* 機能 [#vb1a186a]
**証明機関 (CA) [#w48f8aca]
認証局(CA)(ルート CA と下位 CA) は、
証明書を
-ユーザー
-コンピューター
-サービス
に発行し、
証明書の有効性を管理する際に使用される。
**CA Web 登録 [#lad36c7a]
Web 登録により、Web ブラウザーから CA に接続し、~
証明書を要求して[[証明書失効リスト (CRL)]]を取得すること...
**オンライン レスポンダー [#l42aa224]
[[OCSP>証明書失効リスト (CRL)#g9c719fb]]により、
オンラインで特定の証明書に対する
-失効状態要求の受入
-証明書状態の評価
-証明書状態情報を含む署名付きの応答の返信。
を行う。
**ネットワーク デバイス登録サービス [#i8e4c669]
ネットワーク デバイス登録サービスにより、
-ドメイン アカウントを持っていないルーターや
-他のネットワーク デバイス
が証明書を取得できるようになる。
**証明書の登録 Web サービス [#v287c04c]
ユーザーやコンピューターが HTTPS プロトコルを使用した証明...
-クライアント コンピューターがドメインのメンバーでない場...
-ドメイン メンバーが自身のドメインに接続していない場合に、
ポリシー ベースの証明書の登録を可能にする。
**証明書の登録ポリシー Web サービス [#i2e11d9a]
ユーザーやコンピューターが証明書の登録ポリシー情報を取得...
証明書の登録 Web サービスと合わせて使用することで、
-クライアント コンピューターがドメインのメンバーでない場...
-ドメイン メンバーが自身のドメインに接続していない場合に、
ポリシー ベースの証明書の登録を可能にする。
*CAの種類 [#naee6320]
-証明機関の種類~
https://technet.microsoft.com/ja-jp/library/cc732368.aspx
**階層 [#wc6d7c45]
***ルートCA [#n708f223]
-下位CAにのみ証明書を発行
-ネットワーク上のユーザーやコンピューター、ネットワーク機...
-オフラインルートCA
--ネットワーク経由の攻撃から保護できることが運用上の大き...
--チェックリスト : オフラインのルート証明機関を使って証明...
https://msdn.microsoft.com/ja-jp/library/cc737834.aspx
***中間CA [#cea6a41a]
ルートCAと同様に、下位CA([[3階層>#r9c54948]]の場合は、発...
***発行CA [#w6468cf2]
ネットワーク上のユーザーやコンピューター、ネットワーク機...
**インストール・オプション [#d08d6f5b]
***スタンドアロンCA [#b683c206]
-スタンドアロン証明機関~
https://technet.microsoft.com/ja-jp/library/cc755290.aspx
--[[Active Directory]]の[[ドメイン サービス (AD DS)]]が不...
--証明書要求をスタンドアロン CA に送信するときに、
---ユーザーの識別情報を提供する
---必要な証明書の種類を指定する
--証明書テンプレートは使用されない。
--管理者は証明書要求の確認タスクを実行する必要がある。
---証明書要求は、スタンドアロン CA の管理者が送信情報を確...
---スタンドアロン CA では証明書の要求者の資格情報は確認さ...
--管理者か、ユーザー自身がスタンドアロン CA の証明書を~
ドメイン ユーザーの信頼されたルート ストアに明示的に配布...
--[[ドメイン サービス (AD DS)]]を使用した場合の追加機能~
Domain Admins グループのメンバー、AD DS への書き込みアク...
---ドメイン内のすべてのユーザーとコンピューターの信頼され...
---CA 証明書と証明書失効リスト (CRL) を AD DS に発行する。
-用例
--オフラインの信頼されるルートCA として使用する。
--ネットワーク経由でクライアントに証明書を発行する。
-構成
--下位CAに証明書を発行する[[ルートCA>#n708f223]]や[[中間C...
--通常、スタンドアロンCAは、ワークグループのスタンドアロ...
***エンタープライズCA [#bb8aad4c]
-エンタープライズ証明機関~
https://technet.microsoft.com/ja-jp/library/cc771443.aspx
--[[Active Directory]]の[[ドメイン サービス (AD DS)]]への...
---GPOを使用して、ドメイン内のすべてのユーザーおよびコン...
---エンタープライズCAが Certificate Publishers グループの...
--証明書テンプレートに基づいて証明書を発行する。
---エンタープライズ ユーザーの情報は[[ドメイン サービス (...
証明書の種類は証明書テンプレートに記述されているため、証...
---要求の認証情報は、ローカル コンピューターのセキュリテ...
---証明書テンプレートにはAD DS でのセキュリティのアクセス...
---ポリシー モジュールにより、証明書およびその用途に関し...
--管理者は証明書要求の確認タスクを実行する必要がない。
---自動登録を使用して証明書を発行できる。
-用例
--[[発行CA>#w6468cf2]]は、エンタープライズCAとしてインス...
-構成
--ドメインに参加したメンバーサーバーにインストールする。
*階層構成 [#ic0c4c3a]
-証明機関の階層~
https://msdn.microsoft.com/ja-jp/library/cc781292.aspx
**1階層のCA [#c79571ed]
***要件 [#a24f8021]
-管理作業の簡略化やコストの最小化
-セキュリティポリシーで「オフラインルートCA」の実装が要求...
***構成 [#a08e0c12]
ドメインに参加しているメンバーサーバーに対し、~
[[ルートCA>#n708f223]]と[[発行CA>#w6468cf2]]の二つの役割...
**2階層のCA [#u5c2b232]
***要件 [#h6af7464]
-[[ルートCA>#n708f223]]と[[発行CA>#w6468cf2]]が配置される。
-[[ルートCA>#n708f223]]は“オフライン”で運用することが推奨...
***構成 [#p2d73909]
-ワークグループのスタンドアロンサーバーにスタンドアロンCA...
-ドメインに参加しているメンバーサーバーにエンタープライズ...
**3階層のCA [#r9c54948]
***要件 [#n362dad0]
最大限のセキュリティと柔軟性を確保することが可能
-セキュリティポリシーでCA階層の物理的な~
セキュリティが必須要件として規定されている
-複数の保証レベルで証明書を発行
-CAの管理責任を分担する
***構成 [#k9b5b273]
-[[ルートCA>#n708f223]]
--オフラインルートCA
--スタンドアロンCA
◆◆◆
-[[中間CA>#cea6a41a]]
--スタンドアロンCA
◆◆◆
-[[発行CA>#w6468cf2]]
--エンタープライズCA
*手順 [#i057fea2]
**インストール [#c6288940]
-Windows Serverに証明機関をインストールする~
(Active Directory 証明書サービスのインストール) - Windows...
https://www.ipentec.com/document/windows-server-active-di...
**証明書の発行 [#wf64bb92]
-「証明機関」による証明書の発行~
(サーバー証明書を作成する) - Windows Server Tips~
https://www.ipentec.com/document/create-server-certificat...
*参考 [#u15a001f]
-Active Directory 証明書サービス~
https://technet.microsoft.com/ja-jp/windowsserver/dd44861...
-Active Directory 証明書サービス~
https://technet.microsoft.com/ja-jp/library/cc770357.aspx
--Active Directory 証明書サービスの概要~
https://technet.microsoft.com/ja-jp/library/cc731564.aspx
--Active Directory 証明書サービスの役割~
https://technet.microsoft.com/library/cc753254.aspx
--AD CS の新機能~
https://technet.microsoft.com/library/hh831373.aspx
--ステップ バイ ステップ ガイド~
Windows Server Active Directory 証明書サービス~
https://technet.microsoft.com/library/cc772393.aspx
-@IT - 基礎から学ぶサーバーマネージャーの使い方~
Active Directory証明書サービスでセキュアな公開鍵基盤を構...
--(1) (1/2)~
http://www.atmarkit.co.jp/ait/articles/1508/28/news021.html
--(2) (1/3)~
http://www.atmarkit.co.jp/ait/articles/1509/17/news016.html
--(3) (1/2)~
http://www.atmarkit.co.jp/ait/articles/1512/01/news025.html
----
Tags: [[:Active Directory]], [[:認証基盤]], [[:セキュリテ...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>Active Directory(機能一覧)]]
* 目次 [#jbe3242c]
#contents
* 概要 [#ma489c0a]
公開キー証明書を発行し管理するためのカスタマイズ可能なサ...
* 機能 [#vb1a186a]
**証明機関 (CA) [#w48f8aca]
認証局(CA)(ルート CA と下位 CA) は、
証明書を
-ユーザー
-コンピューター
-サービス
に発行し、
証明書の有効性を管理する際に使用される。
**CA Web 登録 [#lad36c7a]
Web 登録により、Web ブラウザーから CA に接続し、~
証明書を要求して[[証明書失効リスト (CRL)]]を取得すること...
**オンライン レスポンダー [#l42aa224]
[[OCSP>証明書失効リスト (CRL)#g9c719fb]]により、
オンラインで特定の証明書に対する
-失効状態要求の受入
-証明書状態の評価
-証明書状態情報を含む署名付きの応答の返信。
を行う。
**ネットワーク デバイス登録サービス [#i8e4c669]
ネットワーク デバイス登録サービスにより、
-ドメイン アカウントを持っていないルーターや
-他のネットワーク デバイス
が証明書を取得できるようになる。
**証明書の登録 Web サービス [#v287c04c]
ユーザーやコンピューターが HTTPS プロトコルを使用した証明...
-クライアント コンピューターがドメインのメンバーでない場...
-ドメイン メンバーが自身のドメインに接続していない場合に、
ポリシー ベースの証明書の登録を可能にする。
**証明書の登録ポリシー Web サービス [#i2e11d9a]
ユーザーやコンピューターが証明書の登録ポリシー情報を取得...
証明書の登録 Web サービスと合わせて使用することで、
-クライアント コンピューターがドメインのメンバーでない場...
-ドメイン メンバーが自身のドメインに接続していない場合に、
ポリシー ベースの証明書の登録を可能にする。
*CAの種類 [#naee6320]
-証明機関の種類~
https://technet.microsoft.com/ja-jp/library/cc732368.aspx
**階層 [#wc6d7c45]
***ルートCA [#n708f223]
-下位CAにのみ証明書を発行
-ネットワーク上のユーザーやコンピューター、ネットワーク機...
-オフラインルートCA
--ネットワーク経由の攻撃から保護できることが運用上の大き...
--チェックリスト : オフラインのルート証明機関を使って証明...
https://msdn.microsoft.com/ja-jp/library/cc737834.aspx
***中間CA [#cea6a41a]
ルートCAと同様に、下位CA([[3階層>#r9c54948]]の場合は、発...
***発行CA [#w6468cf2]
ネットワーク上のユーザーやコンピューター、ネットワーク機...
**インストール・オプション [#d08d6f5b]
***スタンドアロンCA [#b683c206]
-スタンドアロン証明機関~
https://technet.microsoft.com/ja-jp/library/cc755290.aspx
--[[Active Directory]]の[[ドメイン サービス (AD DS)]]が不...
--証明書要求をスタンドアロン CA に送信するときに、
---ユーザーの識別情報を提供する
---必要な証明書の種類を指定する
--証明書テンプレートは使用されない。
--管理者は証明書要求の確認タスクを実行する必要がある。
---証明書要求は、スタンドアロン CA の管理者が送信情報を確...
---スタンドアロン CA では証明書の要求者の資格情報は確認さ...
--管理者か、ユーザー自身がスタンドアロン CA の証明書を~
ドメイン ユーザーの信頼されたルート ストアに明示的に配布...
--[[ドメイン サービス (AD DS)]]を使用した場合の追加機能~
Domain Admins グループのメンバー、AD DS への書き込みアク...
---ドメイン内のすべてのユーザーとコンピューターの信頼され...
---CA 証明書と証明書失効リスト (CRL) を AD DS に発行する。
-用例
--オフラインの信頼されるルートCA として使用する。
--ネットワーク経由でクライアントに証明書を発行する。
-構成
--下位CAに証明書を発行する[[ルートCA>#n708f223]]や[[中間C...
--通常、スタンドアロンCAは、ワークグループのスタンドアロ...
***エンタープライズCA [#bb8aad4c]
-エンタープライズ証明機関~
https://technet.microsoft.com/ja-jp/library/cc771443.aspx
--[[Active Directory]]の[[ドメイン サービス (AD DS)]]への...
---GPOを使用して、ドメイン内のすべてのユーザーおよびコン...
---エンタープライズCAが Certificate Publishers グループの...
--証明書テンプレートに基づいて証明書を発行する。
---エンタープライズ ユーザーの情報は[[ドメイン サービス (...
証明書の種類は証明書テンプレートに記述されているため、証...
---要求の認証情報は、ローカル コンピューターのセキュリテ...
---証明書テンプレートにはAD DS でのセキュリティのアクセス...
---ポリシー モジュールにより、証明書およびその用途に関し...
--管理者は証明書要求の確認タスクを実行する必要がない。
---自動登録を使用して証明書を発行できる。
-用例
--[[発行CA>#w6468cf2]]は、エンタープライズCAとしてインス...
-構成
--ドメインに参加したメンバーサーバーにインストールする。
*階層構成 [#ic0c4c3a]
-証明機関の階層~
https://msdn.microsoft.com/ja-jp/library/cc781292.aspx
**1階層のCA [#c79571ed]
***要件 [#a24f8021]
-管理作業の簡略化やコストの最小化
-セキュリティポリシーで「オフラインルートCA」の実装が要求...
***構成 [#a08e0c12]
ドメインに参加しているメンバーサーバーに対し、~
[[ルートCA>#n708f223]]と[[発行CA>#w6468cf2]]の二つの役割...
**2階層のCA [#u5c2b232]
***要件 [#h6af7464]
-[[ルートCA>#n708f223]]と[[発行CA>#w6468cf2]]が配置される。
-[[ルートCA>#n708f223]]は“オフライン”で運用することが推奨...
***構成 [#p2d73909]
-ワークグループのスタンドアロンサーバーにスタンドアロンCA...
-ドメインに参加しているメンバーサーバーにエンタープライズ...
**3階層のCA [#r9c54948]
***要件 [#n362dad0]
最大限のセキュリティと柔軟性を確保することが可能
-セキュリティポリシーでCA階層の物理的な~
セキュリティが必須要件として規定されている
-複数の保証レベルで証明書を発行
-CAの管理責任を分担する
***構成 [#k9b5b273]
-[[ルートCA>#n708f223]]
--オフラインルートCA
--スタンドアロンCA
◆◆◆
-[[中間CA>#cea6a41a]]
--スタンドアロンCA
◆◆◆
-[[発行CA>#w6468cf2]]
--エンタープライズCA
*手順 [#i057fea2]
**インストール [#c6288940]
-Windows Serverに証明機関をインストールする~
(Active Directory 証明書サービスのインストール) - Windows...
https://www.ipentec.com/document/windows-server-active-di...
**証明書の発行 [#wf64bb92]
-「証明機関」による証明書の発行~
(サーバー証明書を作成する) - Windows Server Tips~
https://www.ipentec.com/document/create-server-certificat...
*参考 [#u15a001f]
-Active Directory 証明書サービス~
https://technet.microsoft.com/ja-jp/windowsserver/dd44861...
-Active Directory 証明書サービス~
https://technet.microsoft.com/ja-jp/library/cc770357.aspx
--Active Directory 証明書サービスの概要~
https://technet.microsoft.com/ja-jp/library/cc731564.aspx
--Active Directory 証明書サービスの役割~
https://technet.microsoft.com/library/cc753254.aspx
--AD CS の新機能~
https://technet.microsoft.com/library/hh831373.aspx
--ステップ バイ ステップ ガイド~
Windows Server Active Directory 証明書サービス~
https://technet.microsoft.com/library/cc772393.aspx
-@IT - 基礎から学ぶサーバーマネージャーの使い方~
Active Directory証明書サービスでセキュアな公開鍵基盤を構...
--(1) (1/2)~
http://www.atmarkit.co.jp/ait/articles/1508/28/news021.html
--(2) (1/3)~
http://www.atmarkit.co.jp/ait/articles/1509/17/news016.html
--(3) (1/2)~
http://www.atmarkit.co.jp/ait/articles/1512/01/news025.html
----
Tags: [[:Active Directory]], [[:認証基盤]], [[:セキュリテ...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
