ドメイン環境でエンタープライズ CA(認証局)を導入している場合、Windows の「証明書の自動登録」機能を利用することで、ユーザー証明書やコンピューター証明書を自動的に発行・登録することができます。
通常、ドメイン環境で証明書を活用するには、多数のユーザーやクライアント端末に対して証明書を配布する必要があります。手動で行うと大きな手間がかかりますが、自動登録機能を使えば、証明書の発行から登録までの作業を自動化でき、運用の効率化が図れます。
今回は、この「証明書の自動登録」機能がどのようなものか、概要をご紹介します。
証明書の自動登録とは
証明書の自動登録とは、ドメインで管理しているユーザーやコンピューターに対して証明書を自動で発行して登録することができる機能です。
証明書の自動登録に必要な設定は全て管理者側で行えますので、ユーザーは特に作業せずとも、必要な証明書を自動で登録することができます。
例えば、VPN 接続や LAN 接続で行われる認証に使用する証明書を、全てのクライアント端末に配布することができます。
証明書の自動登録の設定
Windows の証明書の自動登録の機能は、エンタープライズ CA が構築されているドメイン環境で利用できます。
証明書の自動登録の設定では、[1] グループ ポリシーの設定、[2] 証明書テンプレートの設定の 2 箇所を設定します。
証明書の自動登録の設定方法は、証明書テンプレートのバージョンによって異なります。
バージョンごとの設定方法は 2 通りであり、1) バージョン 1 の証明書テンプレートを利用した自動登録、2) バージョン 2 以上の証明書テンプレートを利用した自動登録に分けられます。
証明書テンプレートのバージョンについては、以下の記事で説明しています。
Active Directory 証明書サービスでは、CA の種類として "エンタープライズ" と "スタンドアロン" があります。エンタープライズ CA とスタンドアロン CA の大きな違いの一つとして、証明書テンプレートの有無があげられ[…]
各設定方法を見ていきましょう。
バージョン 1 の証明書テンプレートを利用した自動登録
バージョン1の証明書テンプレートを使用して、証明書の自動登録を行うことができます。
この機能を利用する場合、自動登録に使用できるバージョン1の証明書テンプレートは限定されており、それ以外の証明書テンプレートを利用して自動登録は行えません。
[1] バージョン1の証明書テンプレートを利用する場合のグループ ポリシーの設定
ポリシー パス:
[コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書の自動要求の設定]
上記のポリシーを右クリックして [新規作成] – [証明書の自動登録] をクリックして、証明書の自動登録に使用する証明書テンプレートを指定します。
ウィザードを進めて、以下の画面より証明書テンプレートを選択します。
上記のウィザードから確認できる通り、自動登録に使用できるバージョン1の証明書テンプレートは以下の通りです。
- IPSec
- コンピューター
- ドメイン コントローラー
- 登録エージェント(コンピューター)
[2] バージョン 1 の証明書テンプレートのセキュリティ設定
グループ ポリシーで指定した証明書テンプレートにて、セキュリティ設定を変更します。
自動登録を行うために必要なセキュリティ設定は、読み取りと登録の許可です。
このセキュリティ設定を、証明書の配布対象のユーザーに対して行います。
※ Domain Computers に対して “登録” が許可されています。
全ての証明書テンプレートには既定で Authenticated Users に対して読み取りが許可されています。
(Authenticated Users とは認証されたアカウントです。)
そのため、上記のセキュリティ設定の場合、全てのコンピューター アカウントに対して証明書が登録できる設定となります。
対象の証明書テンプレートのセキュリティ設定を行ったら、証明書テンプレートは公開しましょう。
バージョン 2 以上の証明書テンプレートを利用した自動登録
バージョン1の証明書テンプレートを用いた自動登録では、特定の証明書テンプレートでしか自動登録できませんでした。
しかし、バージョン2以上の証明書テンプレートでは、どの証明書テンプレートでも証明書の自動登録の機能が利用できます。
バージョン2であれば、任意に設定をカスタマイズした証明書テンプレートを用いて証明書を発行できるので、多くの場合はこちらの自動登録の機能を利用します。
[1] バージョン2の証明書テンプレートを利用する場合のグループ ポリシーの設定
コンピューター証明書の場合
ポリシー パス:
[コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書サービス クライアント – 自動登録]
ユーザー証明書の場合
ポリシー パス:
[ユーザーの構成] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [証明書サービス クライアント – 自動登録]
[2] バージョン 2 以上の証明書テンプレートのセキュリティ設定
グループ ポリシーの設定を行ったら、任意の証明書テンプレート(バージョン 2 以上)で証明書の自動登録を行えるようになります。
証明書の自動登録を行う証明書テンプレートにて、セキュリティ設定を変更します。
自動登録を行うために必要なセキュリティ設定は、読み取りと登録、自動登録の許可です。
このセキュリティ設定を、証明書の配布対象のアカウントに対して行います。
※ Domain Computers に対して “登録”、“自動登録” が許可されています。
全ての証明書テンプレートには既定で Authenticated Users に対して読み取りが許可されています。
(Authenticated Users とは認証されたアカウントです。)
そのため、上記のセキュリティ設定の場合、全てのコンピューター アカウントに対して証明書が自動登録できる設定となります。
バージョン2以上の証明書テンプレートを用いた自動登録の発行手順は以下の記事もご参照ください。
ドメイン環境にエンタープライズ CA(認証局)を構築している場合、Windows の「証明書の自動登録」機能を活用することで、ドメインに参加している各コンピューターに対し、証明書を自動的に配布・インストールさせることが可能です。この仕組みを[…]
ドメイン環境にエンタープライズ CA(認証局)を構築している場合、Windows の「証明書の自動登録」機能を使って、ドメインに参加している各コンピューターに対して証明書を自動で配布・登録することが可能です。この仕組みを活用することで、管理[…]
