企業が大きくなると様々なシステムが稼働する事になります。システムにおいては、デジタル証明書を利用する場合があります。その場合、企業内に証明機関(ローカルCA局)を構築する事があると思います。
その場合、Windowsサーバがいれば、証明書サービス(AD CS)を構築することで、用途ごとに公開キー証明書を作成し管理する為の機能を提供してくれます。
私が利用したことがあるのは、無線LANの802.1x認証です。Radiusサーバにサーバ証明書、無線クライアントにクライアント証明書を配布してEAP-TLS認証を行うシステムを構築しました。エンタープライズCAを構築すれば、ドメインに参加するクライアント端末にはグループポリシーでクライアント証明書を自動発行できるので、とても便利です。
他にも一般に公開しないシステムで、社内で限定的に使用するシステムであれば、様々な用途で証明書を発行できるので、結構便利です。
【Active Directoryサービス(AD CS)インストール手順】
1. サーバーマネージャーを起動し、「ダッシュボード」 - 「枠割と機能の追加」をクリック。
2. 「次へ」をクリック。
3. 「枠割ベースまたは機能ベースのインストール」をクリック。
4. 「次へ」をクリック。
5. 「Active Directory証明書サービス」のチェックボックスにチェックを入れます。
6. 「機能の追加」をクリック。
7. 「次へ」をクリック。
8. 「次へ」をクリック。
9. 「次へ」をクリック。
10. 「証明機関」はデフォルトでチェックが入っています。今回は「証明機関Web登録」にチェックを入れます。
※項目の説明は以下を参照してください。
項目 | 説明 |
証明機関 | 証明機関(CA)は、証明書を発行および管理するために使用されます。複数のCAをリンクさせることで公開キー基盤を構成できます。 |
オンライン レスポンダー | オンライン レスポンダーは、複数のネットワーク環境において、証明書の失効確認データにクライアントからアクセスできるようにします。 |
ネットワーク デバイス登録サービス | ネットワーク デバイス登録サービスを使用すると、ネットワーク アカウントを持っていないルーターとその他のネットワーク デバイスの証明書を発行および管理できるようになります。 |
証明機関 Web 登録 | 証明機関 Web 登録は、証明書の要求や更新、証明書失効リスト(CRL)の取得、スマートカード証明書の登録のための単純なWebインターフェースを提供します。 |
証明書の登録 Web サービス | 証明書の登録 Web サービスを使用すると、ユーザーおよびコンピューターは、コンピューターがドメインのメンバーでない場合や、ドメインに参加しているコンピューターが一時的にコンピューターネットワークのセキュリティ境界から外れている場合であっても証明書の登録と更新が可能になります。証明書の登録Webサービスは証明書の登録ポリシーWebサービスと連携して、これからのユーザーおよびコンピューターにポリシーベースの自動証明書登録を提供します。 |
証明書の登録ポリシーWebサービス | 証明書の登録ポリシーWebサービスを使用すると、ユーザーおよびコンピューターは、コンピューターがドメインのメンバーでない場合や、ドメイン参加しているコンピューターが一時的に企業のネットワークのセキュリティ境界から外れている場合であっても証明書の登録ポリシー情報を取得できます。証明書の登録ポリシーWebサービスは証明書の登録Webサービスと連携して、これらのユーザーおよびコンピューターにポリシーベースの自動証明書登録を提供します。 |
11. 「機能の追加」をクリック。
12. 「次へ」をクリック。
13. 「次へ」をクリック。
14. 「次へ」をクリック。
15. 「インストール」をクリック。
16. ここまでで、「Active Directory証明書サービス」のインストールは完了です。
画像数が多くて画面が重くなるのでページを分けました。「Active Directory証明書サービス」の構成は以下を参照してください。
>>Windows Server 2012 R2「Active Directory 証明書サービス」の構成
Acerモニター EK240YCbi 23.8型ワイド VA 非光沢 フルHD 5ms(GTG) 75Hz HDMI AMD FreeSync 広い視野角 |