CA認証局の作成方法。Windows ServerでAD連携した証明書

プチSE

7年前

Windowsサーバーを利用し、ローカルなエンタープライズCAをインストール・構築する方法を紹介します。
画面遷移などがわかりますので、参考にして下さい。

レジュメ

0.1 前提条件

1 役割と機能の追加ウィザードで「Active Directory 証明書サービス」インストール方法
- 1.1 インストールの種類の選択
2 対象サーバーの選択
3 Active Directory 証明書サービスを構成する方法（AD CSの構成）
4 秘密キー
5 証明機関「certsv」コンソール画面の確認
- 5.1 「発行した証明書」
- 5.2 証明書テンプレート
6 証明書の確認方法
7 証明書テンプレートの作成

前提条件

Windows Server 2012 R2 (AD参加済)

CAサーバーを作っています。
以下は、この一台のサーバーのみでの画面（操作）になります。

役割と機能の追加ウィザードで「Active Directory 証明書サービス」インストール方法

サーバーマネージャーから「役割と機能の追加」を実行します

「次へ」ボタンを押します。

インストールの種類の選択

「役割ベースまたは機能ベースのインストール」を選択し
「次へ」ボタンを押します。

対象サーバーの選択

「次へ」ボタンを押します。

サーバーの役割の選択

「Active Directory 証明書サービス」にチェックし

「機能の追加」ボタンを押します。
そして「次へ」ボタンを押します。

機能の選択

そのまま「次へ」ボタンを押します。

Active Directory 証明書サービス

「次へ」ボタンを押します。

Active Directory 証明書サービスのインストールする役割サービスの選択

「証明機関」をチェックし、「次へ」ボタンを押します。
「証明書の登録ポリシーWebサービス」を利用したい場合は、こちらに役割サービスがあります。

インストールオプションの確認

「インストール」ボタンを押します。

完了したら「閉じる」ボタンを押します。

Active Directory 証明書サービスを構成する方法（AD CSの構成）

サーバーマネージャーに続きの作業（構成）を示すビックリマークが表示されますのでクリックします。

「対象サーバーにActive Directory証明書サービスを構成」が表示されますので、クリックします。

資格情報

今回は、証明書テンプレートが使用できる「エンタープライズCA」を作りたいので、ローカルユーザーで実行していた場合は、「資格情報」の「変更」のボタンを押し、
ユーザーを（Enterprise Adminsグループ所属の）ドメインユーザーに変更します。

ユーザー名とパスワードを入力し「OK」ボタンを押し、「次へ」ボタンを押します。

役割サービス

「証明機関」にチェックを入れ、「次へ」ボタンを押します。

セットアップの種類

「エンタープライズ CA」を選択し、「次へ」ボタンを押します。

CAの種類

「ルートCA」を選択し、「次へ」ボタンを押します。

秘密キー

「新しい秘密キーを作成する」を選択し、「次へ」ボタンを押します。

CAの暗号化

「次へ」ボタンを押します。

CAの名前

特に変更せずに「次へ」ボタンを押します。

有効期間

有効期間はデフォルトで「5年」なのですが、「10年」くらいに変更し「次へ」ボタンを押します。

CAデータベース

「次へ」ボタンを押します。

確認

「構成」ボタンを押します。

結果

「閉じる」ボタンを押します。

証明機関「certsv」コンソール画面の確認

サーバーマネージャーから「ツール」を選び、「証明機関」をクリックします。
または「certsrv.msc」を実行しても実行出来ます。

「発行した証明書」

インストールしたばかりでは、このCAで「発行した証明書」は何も無いことがわかります。
CAでは、証明書の発行管理（保留中の要求→証明書の発行→証明書の失効）が出来ることがわかります。

証明書テンプレート

証明書テンプレートは、Active Directory必須であるエンタープライズCAでのみ利用できます（スタンドアロンCAでは利用できないです）。
こちらは、テンプレートを利用してActive Directory配下のサーバーやクライアントが簡単に証明書の発行要求を出せる仕組みです。
（例えば、グローバルな証明書を作ったことがある方はわかりますが、証明書を発行してもらうための準備が面倒ですよね。それが簡単になります。）

ローカルユーザーで「証明書テンプレート」を見ても、権限が無く読み込めませんでした。
証明書テンプレートは、権限のあるドメインユーザーで実行する必要があります。

証明書の確認方法

これは証明機関ではなく、各サーバーで持っている証明書を表示する画面です。
以下は、CAサーバー上ではどんな証明書を持っているかを表示した画面です。

上記画面は、「mmc」を実行し「証明書」の「ローカルコンピューター」のスナップインです。

「個人」の「証明書」にエンタープライズCAが使用している証明書が表示されています。
（エンタープライズCAが発行した証明書ではなく、CA自信が使用している証明書ですね）

証明書テンプレートの作成

証明書のテンプレートを作成してみます。
権限のあるドメインユーザーで「certsrv.msc」を実行して以下の画面を開きます。

証明書テンプレートの管理

証明書テンプレートを右クリックし、「管理」をクリックします。

証明書テンプレートコンソール

既にあるテンプレートを再利用し、証明書テンプレートを作成します。
今回は「RASおよびIASサーバー」のテンプレートを選択し、右クリックから「テンプレートの複製」を選びます。

「全般」タブ

テンプレートの表示名
有効期間

を決め「Active Directoryの証明書を発行する」にチェックを入れます。

「セキュリティ」タブ

このテンプレートを使用して証明書登録できるユーザーもしくはコンピューターの権限を付けます。
例えば、「RAS and IAS Servers」グループが証明書テンプレートを自動登録出来るようにチェックを入れてみます。

そして「OK」ボタンを押し、証明書テンプレートの作成が完了です。

発行する証明書テンプレート

最後に、作成した証明書テンプレートを使用できるように有効化します。
「証明書テンプレート」を右クリックし、「新規作成」をクリックして、「発行する証明書テンプレート]」をクリックします。

先ほど作成した証明書テンプレートを選択し、「OK」ボタンを押します。

これで証明機関の「証明書テンプレート」に表示されるようになりました。

※ この証明書テンプレートを使用して証明書の発行をする方法は前回の記事で紹介していますので参照してみてください。

モバイルバージョンを終了