Active Directory 証明書サービスとは

  • 2020年6月7日
  • 2021年1月3日
  • AD CS

Active Directory 証明書サービス (AD CS)

Windows OS では “Active Directory 証明書サービスを利用して、プライベートな証明機関を簡易に構築することができます。

サービス名に “Active Directory” という名前が含まれていることからも想像できる通り、Active Directory ドメイン サービスと連携して、証明書を発行・配布することができるため、ドメイン環境を利用している場合に証明書の運用・管理がしやすいという利点があります。

“Active Directory 証明書サービスで利用できる CA の種類は以下の 2 つがあります。

 

スタンドアロン CA

Active Directory ドメイン サービスとの連携を行わない一般的な証明機関

 

機能面

– CA 証明書は別途配布 (※注)

– CSR (証明書発行要求) を受け取って、証明書を発行する

– CDP AIA は別途用意 (Web サーバー等)

– CSR より証明書の発行の可否を管理者が判断 (既定の動作、変更は可能)

 

システム要件

ワークグループ、ドメイン メンバーいずれも可能

 

(※注)

Enterprise Admins 権限もしくはルート ドメインの Domain Admins 権限を保持しているユーザーで、ドメイン メンバーにスタンドアロン CA を構築すると、ドメイン コントローラーの AD データベース上に CA 証明書を保持してドメイン内の端末に CA 証明書が配布されます。

 

エンタープライズ CA

Active Directory ドメイン サービスとの連携を行い、証明書の発行や管理を簡易化できる証明機関

 

機能面

– CA 証明書はドメイン内に自動配布

証明書テンプレートを用いて、簡易な手順で証明書を発行する

– CDP AIA はドメイン コントローラーの AD データベース上に自動に構成され、ドメイン内にアクセス可能

証明書の自動登録の機能が利用可能

証明書の発行の可否は、セキュリティ設定により決まる

 

システム要件

ドメイン メンバーのみ構築可能

(ドメイン コントローラーと連携した証明機関であるため、ワークグループのサーバーにはエンタープライズ CA は構築できない)

 

ドメイン環境であれば、エンタープライズ CA を構築した方が利便性が高いため、証明書の発行 CA サーバーはエンタープライズ CA” で構築している場合が多いです。

エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられます。

そのため、構築済みの証明機関の CA の種類は、証明機関の管理コンソールに [証明書テンプレート] があるかどうかをチェックすることで確認することができます。

 

構成パーティション

エンタープライズ CA では Activ Directory ドメイン サービスと連携しており、Active Directory 証明書サービスで利用する各種情報を AD データベース内で保持しています。

Active Directory 証明書サービスの各種情報の保存場所は、Active Directory ドメイン サービスのサービス関連の情報を保持している構成パーティション配下の “Services” コンテナの下です。

構成パーティションでは、証明書をの発行に使用する証明書テンプレートや CRL (証明書失効リスト)CA 証明書などの情報が保持されています。

ドメインにっ参加しているtな松は、構成パーティションを参照して CA 証明書を登録したり、証明書の発行要求を行ったりします。

構成パーティションの情報を確認するためには、[ADSI エディター] [Active Directory サイトとサービス] の管理ツールを利用します。

“Public Key Services” 配下にある各コンテナには、それぞれ以下の情報が保存されています。

AIA : CA 証明書の情報

CDP : Base CRL/Delta CRL の情報

Certificate Template : 証明書テンプレートの情報

Certificate Authoriries : CA サーバーの情報

Enrollment Services : 登録エージェント(証明書の発行要求の処理を受け付けるサービス)の情報

KRA : フォレストの回復キーエージェント証明書の情報

 

※ [Active Directory サイトとサービス] の管理ツールで表示するには、メニューの [表示] より [サービス ノードの表示] を表示させる必要があります。

 

Active Directory 証明書サービス(AD CS)での CA サーバー構築

Active Directory 証明書サービスを利用して、証明機関を構築する手順をラボワークの記事に公開しています。