証明書伝達サービス
証明書伝達サービス (CertPropSvc) は、ユーザーがデバイスに接続されているリーダーにスマート カードを挿入したときにアクティブ化する Windows サービスです。 このアクションにより、証明書がスマート カードから読み取られます。 その後、証明書がユーザーの個人用ストアに追加されます。 証明書伝達サービスアクションは、グループ ポリシーを使用して制御されます。 詳細については、「スマート カードのグループ ポリシーとレジストリの設定」を参照してください。
注
スマート カード プラグ アンド プレイを機能させるには、証明書伝達サービスが実行されている必要があります。
次の図は、証明書伝達サービスのフローを示しています。 このアクションは、サインインしているユーザーがスマート カードを挿入したときに開始されます。
1 というラベルが付いた矢印は、ユーザーがサインインしたときに Service Control Manager (SCM) が証明書伝達サービス (CertPropSvc) に通知し、CertPropSvc がユーザー セッションでスマート カードの監視を開始することを示します
R というラベルが付いた矢印は、リモート セッションの可能性とスマート カード リダイレクトの使用を表します
2 というラベルが付いた矢印は、リーダーへの認定を示します
3 というラベルが付いた矢印は、クライアント セッション中の証明書ストアへのアクセスを示します
サインインしているユーザーがスマート カードを挿入する
スマート カードが挿入されたことが CertPropSvc に通知される
CertPropSvc は、挿入されたすべてのスマート カードからすべての証明書を読み取ります。 証明書は、ユーザーの個人用証明書ストアに書き込まれます
注
証明書伝達サービスは、リモート デスクトップ サービスの依存関係として開始されます。
証明書伝達サービスのプロパティは次のとおりです。
-
CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES
ユーザーの個人用ストアに証明書を追加する - 証明書に プロパティ (で定義されている
wincrypt.h
) がある場合はCERT_ENROLLMENT_PROP_ID
、空の要求をフィルター処理し、現在のユーザーの要求ストアに配置しますが、ユーザーの個人用ストアには反映されません - サービスはコンピューター証明書をユーザーの個人用ストアに伝達したり、ユーザー証明書をコンピューター ストアに伝達したりしません
- サービスは、設定されているグループ ポリシーオプションに従って証明書を伝達します。これには、次のものが含まれる場合があります。
- スマート カードからの証明書の伝達を有効にして、ユーザーの証明書を伝達するかどうかを指定します
- スマート カードからのルート証明書の伝達を有効にして、ルート証明書を伝達するかどうかを指定します
- ルート証明書のクリーンアップを構成 するルート証明書を削除する方法を指定します
ルート証明書伝達サービス
ルート証明書の伝達は、公開キー インフラストラクチャ (PKI) 信頼がまだ確立されていない場合に、次のスマート カード展開シナリオを担当します。
- ドメインへの参加
- リモートからネットワークにアクセスする
どちらの場合も、コンピューターはドメインに参加していないため、信頼はグループ ポリシーによって管理されません。 ただし、目的は、ドメイン コントローラーなどのリモート サーバーに対して認証することです。 ルート証明書の伝達では、スマート カードを使用して不足している信頼チェーンを含めることができます。
スマート カードが挿入されると、証明書伝達サービスは、カード上のすべてのルート証明書を信頼されたスマート カード ルート コンピューター証明書ストアに伝達します。 このプロセスにより、エンタープライズ リソースとの信頼関係が確立されます。 また、ユーザーのスマート カードがリーダーから削除されたとき、またはユーザーがサインアウトしたときに、後続のクリーンアップ アクションを使用することもできます。これは、グループ ポリシーで構成できます。 詳細については、「スマート カードのグループ ポリシーとレジストリの設定」を参照してください。
ルート証明書の要件の詳細については、「ドメイン サインインで使用するスマート カードルート証明書の要件」を参照してください。