ねこまるの AD フリーク

【AD CS】ユーザー証明書の自動登録の設定手順

設定手順

ドメイン環境にエンタープライズ CA(認証局)を構築している場合、Windows の「証明書の自動登録」機能を使って、ドメインに参加している各コンピューターに対して証明書を自動で配布・登録することが可能です。この仕組みを活用することで、管理者が個別に証明書を発行・配布する手間を省き、運用を効率化することができます。

本記事では、その中でも「ユーザー証明書」をドメイン参加端末に自動配布する手順を、具体的に紹介します。

 

目次

環境

ドメイン メンバーのサーバー OS の端末に CA サーバーを構築します。
事前準備となるドメイン コントローラーの構築手順やドメイン参加の手順、またエンタープライズ CA の構築手順は以下の記事を参考にしてください。

関連記事
【AD DS】ドメイン コントローラーの構築手順

Active Directory ドメイン サービス(AD DS) とは、企業や組織内でユーザーアカウントやコンピューター、ネットワークリソース(共有フォルダー、プリンターなど)を一元的に管理するための仕組みです。システム管理者が効率よく管[…]

関連記事
【AD CS】エンタープライズでルート証明機関の構築手順

エンタープライズ CA は Active Directory ドメイン サービスと連携した証明機関となります。 そのため、エンタープライズ CA はドメインに参加している Windows Server OS 上に構築する必要があります。 […]

 

グループポリシーの編集

1) ドメイン コントローラーに管理者権限をもつユーザーでログオンします。

2) [Windows 管理ツール] より [グループ ポリシーの管理] をクリックします。

3) [グループ ポリシーの管理] にて、証明書の自動登録の設定を配布するための GPO を右クリックして [編集] をクリックします。

 

4) [グループ ポリシー管理エディター] にて、画面の左ペインにて展開して [証明書サービス クライアント – 自動登録] をダブルクリックします。

パス:[ユーザーの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー]
ポリシー:[証明書サービス クライアント – 自動登録]

 

5) [証明書サービス クライアント – 自動登録のプロパティ] にて、[構成モデル]“有効” に設定し、以下の 2 つのオプションのチェックボックスを有効にして [適用] をクリックして設定を反映させます。

 

6) [証明書サービス クライアント – 自動登録のプロパティ] を閉じて、[グループ ポリシーの管理エディター][グループ ポリシーの管理] の画面も閉じます。

 

証明書テンプレートの設定

1) エンタープライズ CA に管理者権限をもつユーザーでログオンします。

2) [Windows 管理ツール] より、[証明機関] をクリックします。

3) certsrv の管理ツールの画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] – [証明書テンプレート] を右クリックして [管理] をクリックします。

 

4) [証明書テンプレート コンソール] にて、”ユーザー” を右クリックして [テンプレートの複製] をクリックします。

 

5) [新しいテンプレートのプロパティ][全般] タブ にて、[テンプレートの表示名][テンプレート名] にて任意のテンプレート名 (例:auto-temp) に変更します。

 

6) [セキュリティ] タブを選択して、“Domain Users” に対し [自動登録][許可] のチェックボックスを有効にして、[適用] をクリックします。
既定で有効になっている [登録][許可] のチェックボックスは有効のままとします。

 

7) [証明書テンプレート コンソール] にて、新規作成した証明書テンプレートが追加されていることを確認して、コンソール画面を閉じます。

 

8) certsrv の管理ツールの画面の左ペインより、[証明機関 (ローカル)] – [<CA 名>] – [証明書テンプレート] を右クリックして、[新規作成] – [発行する証明書テンプレート] をクリックします。

 

9) [証明書テンプレートの選択] にて、新規作成した証明書テンプレートを選択して、[OK] をクリックします。

 

10) 証明書テンプレートの一覧に、新規作成した証明書テンプレートが追加されていることを確認します。

 

ユーザー証明書の自動登録

ドメインに参加している端末に、設定したユーザー証明書の自動登録の機能により証明書が配布されていることを確認します。

今回は、Domain Users のアカウントに対して自動登録する設定としているので、ドメインに参加しているクライアントにログオンしているユーザー アカウントの [個人] の証明書ストアに登録されていることを確認します。

1) ドメインに参加しているクライアント端末に、任意のドメイン ユーザーでログオンします。

2) [ファイル名を指定して実行] を開き、certmgr.msc と入力して [OK] をクリックします。

3) ログオン ユーザー アカウントの証明書ストアが開いたら、画面の左ペインにて [証明書 – 現在のユーザー] – [個人] – [証明書] を選択して、自動登録を登録した証明書テンプレート(auto-temp)で発行された証明書が登録されていることを確認します。

 

※ 証明書が登録されていなかったら、コマンド プロンプトを開いて gpupdate /force コマンドを実行して自動登録のタスクをキックさせて、証明書を自動登録させます。