【AD CS】証明書の自動登録の機能とは

  • 2020年12月31日
  • 2025年5月29日
  • AD CS

ドメイン環境でエンタープライズ CA(認証局)を導入している場合、Windows の「証明書の自動登録」機能を利用することで、ユーザー証明書やコンピューター証明書を自動的に発行・登録することができます。

通常、ドメイン環境で証明書を活用するには、多数のユーザーやクライアント端末に対して証明書を配布する必要があります。手動で行うと大きな手間がかかりますが、自動登録機能を使えば、証明書の発行から登録までの作業を自動化でき、運用の効率化が図れます。

今回は、この「証明書の自動登録」機能がどのようなものか、概要をご紹介します。

 

証明書の自動登録とは

証明書の自動登録とは、ドメインで管理しているユーザーやコンピューターに対して証明書を自動で発行して登録することができる機能です。

証明書の自動登録に必要な設定は全て管理者側で行えますので、ユーザーは特に作業せずとも、必要な証明書を自動で登録することができます。

例えば、VPN 接続や LAN 接続で行われる認証に使用する証明書を、全てのクライアント端末に配布することができます。

 

証明書の自動登録の設定

Windows の証明書の自動登録の機能は、エンタープライズ CA が構築されているドメイン環境で利用できます。

証明書の自動登録の設定では、[1] グループ ポリシーの設定、[2] 証明書テンプレートの設定の 2 箇所を設定します。

証明書の自動登録の設定方法は、証明書テンプレートのバージョンによって異なります。
バージョンごとの設定方法は 2 通りであり、1) バージョン 1 の証明書テンプレートを利用した自動登録、2) バージョン 2 以上の証明書テンプレートを利用した自動登録に分けられます。

証明書テンプレートのバージョンについては、以下の記事で説明しています。

関連記事

Active Directory 証明書サービスでは、CA の種類として "エンタープライズ" と "スタンドアロン" があります。エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられ[…]

各設定方法を見ていきましょう。

バージョン 1 の証明書テンプレートを利用した自動登録

バージョン1の証明書テンプレートを使用して、証明書の自動登録を行うことができます。
この機能を利用する場合、自動登録に使用できるバージョン1の証明書テンプレートは限定されており、それ以外の証明書テンプレートを利用して自動登録は行えません。

[1] バージョン1の証明書テンプレートを利用する場合のグループ ポリシーの設定

ポリシー パス:
[コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書の自動要求の設定]

上記のポリシーを右クリックして [新規作成] – [証明書の自動登録] をクリックして、証明書の自動登録に使用する証明書テンプレートを指定します。

ウィザードを進めて、以下の画面より証明書テンプレートを選択します。

上記のウィザードから確認できる通り、自動登録に使用できるバージョン1の証明書テンプレートは以下の通りです。

  • IPSec
  • コンピューター
  • ドメイン コントローラー
  • 登録エージェント(コンピューター)

 

[2] バージョン 1 の証明書テンプレートのセキュリティ設定

グループ ポリシーで指定した証明書テンプレートにて、セキュリティ設定を変更します。
自動登録を行うために必要なセキュリティ設定は、読み取り登録許可です。
このセキュリティ設定を、証明書の配布対象のユーザーに対して行います。

※ Domain Computers に対して “登録” が許可されています。
  全ての証明書テンプレートには既定で Authenticated Users に対して読み取りが許可されています。
     (Authenticated Users とは認証されたアカウントです。)

 そのため、上記のセキュリティ設定の場合、全てのコンピューター アカウントに対して証明書が登録できる設定となります。

 

対象の証明書テンプレートのセキュリティ設定を行ったら、証明書テンプレートは公開しましょう。

 

バージョン 2 以上の証明書テンプレートを利用した自動登録

バージョン1の証明書テンプレートを用いた自動登録では、特定の証明書テンプレートでしか自動登録できませんでした。

しかし、バージョン2以上の証明書テンプレートでは、どの証明書テンプレートでも証明書の自動登録の機能が利用できます。

バージョン2であれば、任意に設定をカスタマイズした証明書テンプレートを用いて証明書を発行できるので、多くの場合はこちらの自動登録の機能を利用します。

[1] バージョン2の証明書テンプレートを利用する場合のグループ ポリシーの設定

コンピューター証明書の場合
ポリシー パス:
 [コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書サービス クライアント – 自動登録]

 

ユーザー証明書の場合
ポリシー パス:
 [ユーザーの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書サービス クライアント – 自動登録]

 

[2] バージョン 2 以上の証明書テンプレートのセキュリティ設定

グループ ポリシーの設定を行ったら、任意の証明書テンプレート(バージョン 2 以上)で証明書の自動登録を行えるようになります。

証明書の自動登録を行う証明書テンプレートにて、セキュリティ設定を変更します。
自動登録を行うために必要なセキュリティ設定は、読み取り登録、自動登録許可です。
このセキュリティ設定を、証明書の配布対象のアカウントに対して行います。

※ Domain Computers に対して “登録”“自動登録” が許可されています。
  全ての証明書テンプレートには既定で Authenticated Users に対して読み取り許可されています。
     (Authenticated Users とは認証されたアカウントです。)

 そのため、上記のセキュリティ設定の場合、全てのコンピューター アカウントに対して証明書が自動登録できる設定となります。

 

バージョン2以上の証明書テンプレートを用いた自動登録の発行手順は以下の記事もご参照ください。

関連記事

ドメイン環境にエンタープライズ CA(認証局)を構築している場合、Windows の「証明書の自動登録」機能を活用することで、ドメインに参加している各コンピューターに対し、証明書を自動的に配布・インストールさせることが可能です。この仕組みを[…]

関連記事

ドメイン環境にエンタープライズ CA(認証局)を構築している場合、Windows の「証明書の自動登録」機能を使って、ドメインに参加している各コンピューターに対して証明書を自動で配布・登録することが可能です。この仕組みを活用することで、管理[…]