次の方法で共有


証明書伝達サービス

証明書伝達サービス (CertPropSvc) は、ユーザーがデバイスに接続されているリーダーにスマート カードを挿入したときにアクティブ化する Windows サービスです。 このアクションにより、証明書がスマート カードから読み取られます。 その後、証明書がユーザーの個人用ストアに追加されます。 証明書伝達サービスアクションは、グループ ポリシーを使用して制御されます。 詳細については、「スマート カードのグループ ポリシーとレジストリの設定」を参照してください。

スマート カード プラグ アンド プレイを機能させるには、証明書伝達サービスが実行されている必要があります。

次の図は、証明書伝達サービスのフローを示しています。 このアクションは、サインインしているユーザーがスマート カードを挿入したときに開始されます。

  1. 1 というラベルが付いた矢印は、ユーザーがサインインしたときに Service Control Manager (SCM) が証明書伝達サービス (CertPropSvc) に通知し、CertPropSvc がユーザー セッションでスマート カードの監視を開始することを示します

  2. R というラベルが付いた矢印は、リモート セッションの可能性とスマート カード リダイレクトの使用を表します

  3. 2 というラベルが付いた矢印は、リーダーへの認定を示します

  4. 3 というラベルが付いた矢印は、クライアント セッション中の証明書ストアへのアクセスを示します

    証明書伝達サービス。

  5. サインインしているユーザーがスマート カードを挿入する

  6. スマート カードが挿入されたことが CertPropSvc に通知される

  7. CertPropSvc は、挿入されたすべてのスマート カードからすべての証明書を読み取ります。 証明書は、ユーザーの個人用証明書ストアに書き込まれます

証明書伝達サービスは、リモート デスクトップ サービスの依存関係として開始されます。

証明書伝達サービスのプロパティは次のとおりです。

  • CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES ユーザーの個人用ストアに証明書を追加する
  • 証明書に プロパティ (で定義されているwincrypt.h) がある場合はCERT_ENROLLMENT_PROP_ID、空の要求をフィルター処理し、現在のユーザーの要求ストアに配置しますが、ユーザーの個人用ストアには反映されません
  • サービスはコンピューター証明書をユーザーの個人用ストアに伝達したり、ユーザー証明書をコンピューター ストアに伝達したりしません
  • サービスは、設定されているグループ ポリシーオプションに従って証明書を伝達します。これには、次のものが含まれる場合があります。
    • スマート カードからの証明書の伝達を有効にして、ユーザーの証明書を伝達するかどうかを指定します
    • スマート カードからのルート証明書の伝達を有効にして、ルート証明書を伝達するかどうかを指定します
    • ルート証明書のクリーンアップを構成 するルート証明書を削除する方法を指定します

ルート証明書伝達サービス

ルート証明書の伝達は、公開キー インフラストラクチャ (PKI) 信頼がまだ確立されていない場合に、次のスマート カード展開シナリオを担当します。

  • ドメインへの参加
  • リモートからネットワークにアクセスする

どちらの場合も、コンピューターはドメインに参加していないため、信頼はグループ ポリシーによって管理されません。 ただし、目的は、ドメイン コントローラーなどのリモート サーバーに対して認証することです。 ルート証明書の伝達では、スマート カードを使用して不足している信頼チェーンを含めることができます。

スマート カードが挿入されると、証明書伝達サービスは、カード上のすべてのルート証明書を信頼されたスマート カード ルート コンピューター証明書ストアに伝達します。 このプロセスにより、エンタープライズ リソースとの信頼関係が確立されます。 また、ユーザーのスマート カードがリーダーから削除されたとき、またはユーザーがサインアウトしたときに、後続のクリーンアップ アクションを使用することもできます。これは、グループ ポリシーで構成できます。 詳細については、「スマート カードのグループ ポリシーとレジストリの設定」を参照してください。

ルート証明書の要件の詳細については、「ドメイン サインインで使用するスマート カードルート証明書の要件」を参照してください。

関連項目

Windows でのスマート カード サインインのしくみ