ドメイン環境にエンタープライズ CA を構築していれば、証明書の自動登録の仕組みを利用して、ドメインに参加している各コンピューターに自動で証明書を配布することができます。
今回は、ドメインに参加している全てのコンピューターにコンピューター証明書を配布する手順を紹介します。
環境
ドメイン メンバーのサーバー OS の端末に CA サーバーを構築します。
事前準備となるドメイン コントローラーの構築手順やドメイン参加の手順、またエンタープライズ CA の構築手順は以下の記事を参考にしてください。
グループ ポリシーの設定
1) ドメイン コントローラーに管理者権限をもつユーザーでログオンします。
2) [Windows 管理ツール] より [グループ ポリシーの管理] をクリックします。
3) [グループ ポリシーの管理] にて、証明書の自動登録の設定を配布するための GPO を右クリックして [編集] をクリックします。
4) [グループ ポリシー管理エディター] にて、画面の左ペインにて展開して [証明書サービス クライアント – 自動登録] をダブルクリックします。
パス:[コンピューターの構成] – [ポリシー] – [セキュリティの設定] – [公開キーのポリシー]
ポリシー:[証明書サービス クライアント – 自動登録]
5) [証明書サービス クライアント – 自動登録のプロパティ] にて、[構成モデル] を “有効” に設定し、以下の 2 つのオプションのチェックボックスを有効にして [適用] をクリックして設定を反映させます。
6) [証明書サービス クライアント – 自動登録のプロパティ] を閉じて、[グループ ポリシーの管理エディター]、[グループ ポリシーの管理] を閉じます。
証明書テンプレートの設定
1) エンタープライズ CA に管理者権限をもつユーザーでログオンします。
2) [Windows 管理ツール] より、[証明機関] をクリックします。
3) certsrv の管理ツールの画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] – [証明書テンプレート] を右クリックして [管理] をクリックします。
4) [証明書テンプレート コンソール] にて、”コンピューター” を右クリックして [テンプレートの複製] をクリックします。
5) [新しいテンプレートのプロパティ] の [全般] タブ にて、[テンプレートの表示名]、[テンプレート名] にて任意のテンプレート名 (例:auto-temp) に変更します。
6) [セキュリティ] タブを選択して、“Domain Computers” に対し [自動登録] の [許可] のチェックボックスを有効にして、[適用] をクリックします。
既定で有効になっている [登録] の [許可] のチェックボックスは有効のままとします。
7) [証明書テンプレート コンソール] にて、新規作成した証明書テンプレートが追加されていることを確認して、コンソール画面を閉じます。
8) certsrv の管理ツールの画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] – [証明書テンプレート] を右クリックして、[新規作成] – [発行する証明書テンプレート] をクリックします。
9) [証明書テンプレートの選択] にて、新規作成した証明書テンプレートを選択して、[OK] をクリックします。
10) 証明書テンプレートの一覧に、新規作成した証明書テンプレートが追加されていることを確認します。
コンピューター証明書の自動登録
ドメインに参加している端末に、設定したコンピューター証明書の自動登録の機能により証明書が配布されていることを確認します。
今回は、Domain Computers のアカウントに対して自動登録する設定としているので、ドメインに参加しているコンピューター アカウントの [個人] の証明書ストアに登録されていることを確認します。
1) ドメインに参加しているクライアント端末に管理者権限をもつユーザーでログオンします。
2) [ファイル名を指定して実行] を開き、certlm.msc と入力して [OK] をクリックします。
3) コンピューター アカウントの証明書ストアが開いたら、画面の左ペインにて [証明書 – ローカル コンピューター] – [個人] – [証明書] を選択して、自動登録を登録した証明書テンプレート(auto-temp)で発行された証明書が登録されていることを確認します。
※ 証明書が登録されていなかったら、コマンド プロンプトを開いて gpupdate /force コマンドを実行して自動登録のタスクをキックさせて、証明書を自動登録させます。