証明書の登録を管理する

  • 9 分

CA の目的は、ユーザーとデバイスが証明書を登録して使用できるようにすることです。 ただしこれには、CA の実装と同様に、CA が発行できる証明書の種類を決定する慎重な計画と準備が必要です。

証明書とは

証明書とは、その所有者に関する複数の情報を含む小さなファイルです。 このデータには、所有者の電子メール アドレス、所有者の名前、証明書の使用法の種類、有効期間、AIA と CDP の場所の URL を含められます。

証明書には公開キーとそれに対応するメタデータも含まれ、これは秘密キーとそれに対応する公開キーで構成されています。 これらのキーは、ID、デジタル署名、暗号化を検証するプロセスで使用できます。 それぞれの証明書で生成されるキー ペアには、次の条件があります。

  • コンテンツが公開キーで暗号化されている場合は、秘密キーを使用してのみ暗号化を解除できます。
  • コンテンツが秘密キーで暗号化されている場合は、公開キーを使用してのみ暗号化を解除できます。
  • 1 つのキー ペアからのキー間のリレーションシップには、他のキーは含まれません。
  • 適切な時間内に秘密キーを公開キーから派生させることはできず、その逆もできません。

証明書の登録プロセスの一部として、クライアントにより公開キーと秘密キーのペアが生成されます。 次に、クライアントから公開キーが CA に送信され、CA でクライアント情報が確認され、独自の秘密キーで署名され、クライアントの公開キーを含む証明書がクライアントに返されます。

注意

証明書は、運転者の運転免許証と考えることができます。 多くの企業では、運転免許証発行者 (政府機関) を信頼できると見なしているため、運転免許証を身元確認の形式として受け入れています。 企業では、運転者の運転免許証を取得するプロセスを理解しているので、運転免許証を発行する前に、発行者がその個人の身元を確認していると信頼しています。 その結果、運転者の運転免許証は身元確認の有効な形式として受け入れられています。 証明書の信頼も同じように確立されます。

証明書の発行に焦点を当てた、CA のライフサイクルの複数の段階。

証明書テンプレートとは

証明書テンプレートでは、ユーザーとデバイスがそのテンプレートに基づいてエンタープライズ CA 発行の証明書を要求および使用できる方法が定義されます。 たとえば、ファイルの暗号化または電子メール署名機能を提供するテンプレートを作成できます。 CA では、構成するテンプレートを格納するために AD DS に依存しています。

重要

証明書テンプレートは、エンタープライズ CA を使用している場合にのみ使用できます。 したがって、スタンドアロン CA では、すべての証明書要求を手動で作成し、証明書に含めるすべての必要な情報を含める必要があります。

CA では、ユーザー用とコンピューター用のテンプレートを提供します。 証明書テンプレートを管理できるユーザー、登録または自動登録を実行できるユーザー、それらの有効期間と更新期間を定義するために、証明書テンプレートにアクセス許可を割り当てることができます。 定義済みの証明書テンプレートを複製すると、追加の変更を適用できます。 ユーザーとデバイスがテンプレートを使用できるようにするには、その使用を明示的に許可する必要があります。

テンプレートのバージョン

Windows Server AD CS の CA では、4 つのバージョンの証明書テンプレートがサポートされており、機能には次のような違いがあります。

  • バージョン 1 のテンプレート。 これらのテンプレートでは、証明書関連のアクセス許可のみを変更できます。 CA をインストールすると、既定でバージョン 1 の証明書テンプレートが作成されます。
  • バージョン 2 のテンプレート。 これらのテンプレートを使用すると、有効期間や更新期間などの追加の設定をカスタマイズできます。 これは、自動登録をサポートする最小バージョンでもあります。 AD CS の既定のインストールでは、事前に構成されたバージョン 2 のテンプレートが複数提供されます。 バージョン 2 のテンプレートを作成することも、バージョン 1 の証明書テンプレートを複製して新しいバージョン 2 のテンプレートを作成することもできます。
  • バージョン 3 のテンプレート。 バージョン 3 の証明書テンプレートでは、Cryptography Next Generation (CNG) がサポートされています。 CNG では高度な暗号アルゴリズムがサポートされています。 既定のバージョン 1 とバージョン 2 のテンプレートを複製して、バージョン 3 にアップグレードすることができます。 バージョン 3 の証明書テンプレートを使用すると、証明書の要求、発行された証明書、キーの交換およびキーのアーカイブのシナリオでの秘密キーの保護に、CNG 暗号化とハッシュ アルゴリズムを使用できます。
  • バージョン 4 のテンプレート。 バージョン 4 の証明書テンプレートでは、暗号化サービス プロバイダー (CSP) とキー記憶域プロバイダーの両方がサポートされています。 同じキーによる更新を要求するように構成することもできます。

デモンストレーション

次のビデオは、以下の方法を示しています。

  • Web サーバー テンプレートに基づいて新しいテンプレートを作成します。
  • 発行できるようにテンプレートを構成します。

このプロセスの主な手順は次のとおりです。

  1. AD DS 環境を作成します。 単一ドメインの AD DS フォレストを作成します。
  2. エンタープライズ ルート CA をデプロイします。
  3. カスタム証明書テンプレートを作成します。 証明書テンプレート コンソールを使用して、Web サーバー テンプレートを複製します。
  4. テンプレートを発行できるように構成します。 証明機関コンソールを使用して、テンプレートを使用できるようにします。

自分の知識をチェックする

1.

既に構成されているテンプレートを使用して証明書の登録を許可するには、どのツールを使用できますか?