Windows Server 2012 R2へ証明書サービス（AD CS）のインストール手順

企業が大きくなると様々なシステムが稼働する事になります。システムにおいては、デジタル証明書を利用する場合があります。その場合、企業内に証明機関（ローカルCA局）を構築する事があると思います。

その場合、Windowsサーバがいれば、証明書サービス（AD CS）を構築することで、用途ごとに公開キー証明書を作成し管理する為の機能を提供してくれます。

私が利用したことがあるのは、無線LANの802.1x認証です。Radiusサーバにサーバ証明書、無線クライアントにクライアント証明書を配布してEAP-TLS認証を行うシステムを構築しました。エンタープライズCAを構築すれば、ドメインに参加するクライアント端末にはグループポリシーでクライアント証明書を自動発行できるので、とても便利です。

他にも一般に公開しないシステムで、社内で限定的に使用するシステムであれば、様々な用途で証明書を発行できるので、結構便利です。

【Active Directoryサービス（AD CS）インストール手順】

1. サーバーマネージャーを起動し、「ダッシュボード」 - 「枠割と機能の追加」をクリック。

2. 「次へ」をクリック。

3. 「枠割ベースまたは機能ベースのインストール」をクリック。

4. 「次へ」をクリック。

5. 「Active Directory証明書サービス」のチェックボックスにチェックを入れます。

6. 「機能の追加」をクリック。

7. 「次へ」をクリック。

8. 「次へ」をクリック。

9. 「次へ」をクリック。

10. 「証明機関」はデフォルトでチェックが入っています。今回は「証明機関Web登録」にチェックを入れます。

※項目の説明は以下を参照してください。

項目	説明
証明機関	証明機関(CA)は、証明書を発行および管理するために使用されます。複数のCAをリンクさせることで公開キー基盤を構成できます。
オンラインレスポンダー	オンラインレスポンダーは、複数のネットワーク環境において、証明書の失効確認データにクライアントからアクセスできるようにします。
ネットワークデバイス登録サービス	ネットワークデバイス登録サービスを使用すると、ネットワークアカウントを持っていないルーターとその他のネットワークデバイスの証明書を発行および管理できるようになります。
証明機関 Web 登録	証明機関 Web 登録は、証明書の要求や更新、証明書失効リスト(CRL)の取得、スマートカード証明書の登録のための単純なWebインターフェースを提供します。
証明書の登録 Web サービス	証明書の登録 Web サービスを使用すると、ユーザーおよびコンピューターは、コンピューターがドメインのメンバーでない場合や、ドメインに参加しているコンピューターが一時的にコンピューターネットワークのセキュリティ境界から外れている場合であっても証明書の登録と更新が可能になります。証明書の登録Webサービスは証明書の登録ポリシーWebサービスと連携して、これからのユーザーおよびコンピューターにポリシーベースの自動証明書登録を提供します。
証明書の登録ポリシーWebサービス	証明書の登録ポリシーWebサービスを使用すると、ユーザーおよびコンピューターは、コンピューターがドメインのメンバーでない場合や、ドメイン参加しているコンピューターが一時的に企業のネットワークのセキュリティ境界から外れている場合であっても証明書の登録ポリシー情報を取得できます。証明書の登録ポリシーWebサービスは証明書の登録Webサービスと連携して、これらのユーザーおよびコンピューターにポリシーベースの自動証明書登録を提供します。