証明書の信頼を管理する
証明書は、認証やその他のセキュリティ関連のタスクを保護および検証するうえで重要な役割を果たします。 これらの機能を有効にする中核となる原則の 1 つが、証明書の信頼です。 証明書を有効にするには、その証明書を使用するすべてのユーザー、デバイス、またはアプリケーションが、その証明書を発行した CA を信頼する必要があります。
証明書の信頼とは
証明書を使用する場合は、その信頼性と有効性を誰が、または何が評価する必要があるかを検討することが重要です。 次の 3 種類の証明書を使用できます。
- AD CS の役割をホストするサーバーなど、組織の CA からの内部証明書。
- 商用サイバーセキュリティ ソフトウェアまたは ID サービスを提供する組織などの公的 CA からの外部証明書。
- 自己署名証明書。
エンタープライズ ルート CA をデプロイし、それを使用してユーザーのドメインに参加しているデバイスに証明書を登録すると、これらのデバイスは、登録されている証明書を信頼されているものとして受け入れます。 ただし、ワークグループ デバイスでは、同じ証明書を信頼されていないものと見なします。 この問題を解決するには、次のようにします。
- ワークグループ デバイスの外部 CA から公開証明書を取得します。 これには、公開証明書の追加コストが伴います。
- エンタープライズ ルート CA を信頼するようにワークグループ デバイスを構成します。 これには追加の構成が必要です。
Windows で証明書と証明書の信頼を管理する
Windows Admin Center、証明書の Microsoft 管理コンソール スナップイン、Windows PowerShell、certutil コマンド ライン ツールなどのさまざまなツールを使用して、Windows オペレーティング システム内に格納されている証明書を管理できます。 これらのそれぞれから、現在のユーザー、ローカル コンピューター、そのサービスの証明書ストアにアクセスできます。 各ストアは、次のような複数のフォルダーで構成されています。
Store
説明
個人用
選択したストアに応じて、ローカル ユーザー、ローカル コンピューター、またはそのサービスに対して発行された証明書が含まれます。
信頼されたルート証明機関
信頼されたルート CA の証明書が含まれます。
エンタープライズの信頼
他の組織からの自己署名証明書の信頼を実装する証明書信頼リストが含まれています。
中間証明機関
証明書階層の下位 CA に発行された証明書が含まれます。
ワークグループ デバイスでエンタープライズ ルート CA を信頼するようにするには、ドメインに参加しているコンピューターの [信頼されたルート証明機関] フォルダーから証明書をエクスポートし、これらのデバイスの同じフォルダーにインポートします。
注意
または、そのロールをホストしているサーバー上の CertEnroll 共有からエンタープライズ ルート CA の証明書を取得することもできます。
テスト目的で自己署名証明書を作成する
自己署名証明書は運用環境のシナリオには適していませんが、テスト目的での使用に役立つことがあります。 Windows PowerShell New-SelfSignedCertificate コマンドレットを使用して、自己署名証明書を作成できます。 CloneCert パラメーターを含め、既存の証明書を指定した場合、新しい証明書には一致する設定が含まれますが、公開キーは除きます。 代わりに、同じアルゴリズムと長さの新しいキーがコマンドレットにより作成されます。
次の例では、サブジェクトの別名を www.fabrikam.com、www.contoso.com に、サブジェクトと発行者の名前を www.fabrikam.com に設定して、自己署名 SSL サーバー証明書をローカル コンピューターの個人ストアに作成します。
New-SelfSignedCertificate -DnsName "www.fabrikam.com", "www.contoso.com" -CertStoreLocation "cert:\LocalMachine\My"