前回は「Active Directory 証明書サービス」の構築手順について紹介しました。今回は証明書テンプレートの作成・発行を行い、ユーザーにクライアント証明書を配布する手順を紹介します。
本文では「Active Directory 証明書サービス」をADCS、「Active Directory ドメイン サービス」をADDS、「クライアント証明書」を証明書と表現します。
ADCS構築方法については以下の記事をご確認ください。
証明書テンプレートとは
証明書テンプレートとはエンタープライズCA*1で使用される証明書のひな型となるもので、証明書に記載される内容や公開鍵の長さ、証明書の発行・登録を定義したものです。証明書テンプレートでは以下のような内容を設定することができます。
- 証明書に記載される内容(サブジェクト名、キーの使用法、有効期間など)
- 証明書の発行方法(CSRなど)
- 証明書の登録方法(秘密キーエクスポート不可設定など)
- 証明書の更新方法(証明書更新のタイミング)
必要端末と処理の流れ
証明書テンプレート作成・発行はドメイン参加済み(ADCS用OS)を使用します。
証明書の要求はドメイン参加済み端末(クライアントOS)を使用します。
-
ドメインコントローラー(ADDS用OS):1台
-
ドメイン参加済み(ADCS用OS):1台
-
ドメイン参加済み端末(クライアントOS):1台
証明書テンプレート作成
ADCSサーバにログインを行い、証明書テンプレート作成を行います。
-
サーバーマネジャー>ツール>証明機関をクリックします。
- 「certsrv証明機関ローカル」の「証明書テンプレート」右クリック、「管理」をクリックすると、証明書テンプレートコンソール(管理)に移動します。
-
証明書テンプレートコンソール(管理)に移動し、証明書テンプレート>「ユーザー」を右クリック「テンプレートの複製」を行います。
※今回はユーザー向けの証明書を作成していますが、コンピュータ向けの証明書を作成することも可能です。その際は「コンピュータ」を右クリック「テンプレートの複製」を行います。 -
証明書テンプレートの設定を行った個所は以下です。
証明書テンプレートのバージョンは上位互換はありますが、下位互換はないため互換性の設定には注意が必要です。(例:互換性をWindows8.1に設定後、Windows7のクライアントでは発行対象の証明書テンプレートとして表示されません)そのため「互換性」ではWindows Server2003などの古いWindowsOSを設定します。 -
「全般」タブのテンプレート表示名、有効期限、更新期間などの設定が必要です。お客様環境にて証明書テンプレートを作成する場合は事前にヒアリングを行いましょう。
※有効期限の推奨値は1年~2年程度となっています。 -
「ActiveDirectoryの情報から構築する」タブでは「完全な識別名」を選択します。電子メール名はチェックを外し、ユーザープリンシパル名のみにチェックを付けます。
※電子メールをチェックつけたまま設定を行うと、メールアドレスを持たないADユーザーはエラーが発生し証明書が配布されません。 -
「セキュリティ」タブでの設定を行います。証明書登録を手動で行うので、特定のユーザーに対し「読み取り」「登録」の許可にチェックを付けます。
- 「証明書テンプレートコンソール」に新規作成した証明書テンプレートが追加されていることを確認して、コンソール画面を閉じます。
証明書テンプレート発行
「certsrv証明機関ローカル」に戻り「証明書テンプレート」の項目を選択するとエンタープライズCAで既に発行(公開)されている証明書テンプレートが表示されます。先ほど作成した証明書テンプレートの発行作業を行います。
- 証明書テンプレート右クリック>新規作成>発行するテンプレートを選択します。
- 「証明書テンプレート」に先ほど発行した証明書が表示されます。以上で証明書テンプレートの発行は完了です。
ドメイン参加済み端末にて証明書の要求・配布確認
ドメイン環境にエンタープライズCAを構築している場合、ドメイン参加している端末は容易に証明書を要求することができます。
エンタープライズCAから証明書を要求する方法は2つあります。1つめはmmcの証明書登録ウィザードから手動で証明書要求を行う方法です。2つめは証明書の自動登録機能を利用して証明書を配布する方法です。
今回は1つめの手動で証明書を要求する方法を紹介します。
- ドメイン参加済み端末(クライアントPC)にログインし証明書要求を行います。ファイル名を指定して「certmgr.msc」入力後OKをクリックします。
-
画面の左ペインより「証明書-現在のユーザー」-「個人」を右クリックして、「すべてのタスク」– 「新しい証明書の要求」 をクリックします。
- 「開始する前に」 にて、「次へ」 をクリックします。
-
「証明書の登録ポリシーの選択」 にて、「Active Directory 登録ポリシー」が選択されている状態であることを確認し、「次へ」をクリックします。
-
「証明書の要求」にて、発行する対象の証明書テンプレートのチェックボックスを有効にして 「登録」 をクリックします。
- 「状態:成功」 と表示されたら、証明書の登録が成功しています。証明書が配布されたかどうか確認します。「証明書 – 現在のユーザー」 – 「個人」 – 「証明書」 を選択して、対象の証明書テンプレートで発行されている証明書が登録されていることを確認します。※手動で証明書を要求した場合即時配布されます。
おわりに
今回は証明書テンプレートの作成・発行を行い、ユーザーに証明書を手順で配布する方法を紹介しました。次回は証明書の自動登録設定を紹介します。
*1:ADDSと連携して組織内で必要な証明書を発行し、その証明書のライフサイクルを管理するもの
吉武 成美(日本ビジネスシステムズ株式会社)
2022年度新卒入社。Microsoft 365 製品(Intune)などのクラウド及びオンプレミスを担当しています。趣味はドライブとUFOキャッチャーです。
担当記事一覧