【AD CS】証明書の自動登録の機能とは

  • 2020年12月31日
  • 2022年3月11日
  • AD CS

ドメイン環境でエンタープライズ CA を利用している場合、証明書の自動登録の機能を利用して、ユーザー証明書やコンピューター証明書を自動で発行・登録することができます。

ドメイン環境での一般のシステム運用において証明書を利用する場合、多数のユーザーやクライアント端末に対して証明書を発行して配布する必要がでてきます。
証明書の自動登録の機能を利用することで、証明書の発行・登録を自動で行えるので作業工数を簡素化できます。

今回は Windows の証明書の自動登録の機能とは何なのか紹介します。

 

証明書の自動登録とは

証明書の自動登録とは、ドメインで管理しているユーザーやコンピューターに対して証明書を自動で発行して登録することができる機能です。

証明書の自動登録に必要な設定は全て管理者側で行えますので、ユーザーは特に作業せずとも、必要な証明書を自動で登録することができます。

例えば、VPN 接続や LAN 接続で行われる認証に使用する証明書を、全てのクライアント端末に配布することができます。

 

証明書の自動登録の設定

Windows の証明書の自動登録の機能は、エンタープライズ CA が構築されているドメイン環境で利用できます。

証明書の自動登録の設定では、[1] グループ ポリシーの設定、[2] 証明書テンプレートの設定の 2 箇所を設定します。

証明書の自動登録の設定方法は、証明書テンプレートのバージョンによって異なります。
バージョンごとの設定方法は 2 通りであり、1) バージョン 1 の証明書テンプレートを利用した自動登録、2) バージョン 2 以上の証明書テンプレートを利用した自動登録に分けられます。

証明書テンプレートのバージョンについては、以下の記事で説明しています。

関連記事

Active Directory 証明書サービスでは、CA の種類として "エンタープライズ" と "スタンドアロン" があります。エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられ[…]

各設定方法を見ていきましょう。

バージョン 1 の証明書テンプレートを利用した自動登録

バージョン1の証明書テンプレートを使用して、証明書の自動登録を行うことができます。
この機能を利用する場合、自動登録に使用できるバージョン1の証明書テンプレートは限定されており、それ以外の証明書テンプレートを利用して自動登録は行えません。

[1] バージョン1の証明書テンプレートを利用する場合のグループ ポリシーの設定

ポリシー パス:
[コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書の自動要求の設定]

上記のポリシーを右クリックして [新規作成] – [証明書の自動登録] をクリックして、証明書の自動登録に使用する証明書テンプレートを指定します。

ウィザードを進めて、以下の画面より証明書テンプレートを選択します。

上記のウィザードから確認できる通り、自動登録に使用できるバージョン1の証明書テンプレートは以下の通りです。

  • IPSec
  • コンピューター
  • ドメイン コントローラー
  • 登録エージェント(コンピューター)

 

[2] バージョン 1 の証明書テンプレートのセキュリティ設定

グループ ポリシーで指定した証明書テンプレートにて、セキュリティ設定を変更します。
自動登録を行うために必要なセキュリティ設定は、読み取り登録許可です。
このセキュリティ設定を、証明書の配布対象のユーザーに対して行います。

※ Domain Computers に対して “登録” が許可されています。
  全ての証明書テンプレートには既定で Authenticated Users に対して読み取りが許可されています。
     (Authenticated Users とは認証されたアカウントです。)

 そのため、上記のセキュリティ設定の場合、全てのコンピューター アカウントに対して証明書が登録できる設定となります。

 

対象の証明書テンプレートのセキュリティ設定を行ったら、証明書テンプレートは公開しましょう。

 

バージョン 2 以上の証明書テンプレートを利用した自動登録

バージョン1の証明書テンプレートを用いた自動登録では、特定の証明書テンプレートでしか自動登録できませんでした。

しかし、バージョン2以上の証明書テンプレートでは、どの証明書テンプレートでも証明書の自動登録の機能が利用できます。

バージョン2であれば、任意に設定をカスタマイズした証明書テンプレートを用いて証明書を発行できるので、多くの場合はこちらの自動登録の機能を利用します。

[1] バージョン2の証明書テンプレートを利用する場合のグループ ポリシーの設定

コンピューター証明書の場合
ポリシー パス:
 [コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書サービス クライアント – 自動登録]

 

ユーザー証明書の場合
ポリシー パス:
 [ユーザーの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書サービス クライアント – 自動登録]

 

[2] バージョン 2 以上の証明書テンプレートのセキュリティ設定

グループ ポリシーの設定を行ったら、任意の証明書テンプレート(バージョン 2 以上)で証明書の自動登録を行えるようになります。

証明書の自動登録を行う証明書テンプレートにて、セキュリティ設定を変更します。
自動登録を行うために必要なセキュリティ設定は、読み取り登録、自動登録許可です。
このセキュリティ設定を、証明書の配布対象のアカウントに対して行います。

※ Domain Computers に対して “登録”“自動登録” が許可されています。
  全ての証明書テンプレートには既定で Authenticated Users に対して読み取り許可されています。
     (Authenticated Users とは認証されたアカウントです。)

 そのため、上記のセキュリティ設定の場合、全てのコンピューター アカウントに対して証明書が自動登録できる設定となります。

 

バージョン2以上の証明書テンプレートを用いた自動登録の発行手順は以下の記事もご参照ください。

関連記事

ドメイン環境にエンタープライズ CA を構築していれば、証明書の自動登録の仕組みを利用して、ドメインに参加している各コンピューターに自動で証明書を配布することができます。 今回は、ドメインに参加している全てのコンピューターにコンピューター[…]

関連記事

ドメイン環境にエンタープライズ CA を構築していれば、証明書の自動登録の仕組みを利用して、ドメインに参加している各コンピューターに自動で証明書を配布することができます。 今回は、ドメインに参加している端末にユーザー証明書を配布する手順を[…]