インターネットに接続できない閉域ネットワークやオフライン環境では、中間証明機関(Intermediate CA)の証明書をクライアントに手動で配布するのは手間がかかります。
しかし、ドメイン環境であれば、グループポリシー(GPO)を活用することで、ドメインに参加しているすべてのクライアントに対し、中間 CA の証明書を一括で配布することが可能です。
本記事では、Windows ドメイン環境において、中間 CA 証明書を効率よく配布する手順をわかりやすく解説します。
グループ ポリシーで中間証明書を配布する手順
1) ドメイン コントローラーに管理者権限をもつユーザーにログオンします。
2) 配布したい中間証明書のエクスポート ファイルを用意して、任意のフォルダに保存します。
3) スタートボタンより、[Windows 管理ツール] より [グループ ポリシーの管理] を開き、中間証明書をドメイン環境に配布する際に使用する GPO を右クリックして [編集] をクリックします。
4) グループ ポリシー管理エディターの画面の左ペインより、[コンピューターの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [中間証明機関] を右クリックして [インポート] をクリックします。
5) [証明書のインポート ウィザードの開始] にて、[次へ] をクリックします。
6) [ファイル名] にて対象のルート証明書のエクスポート ファイルを選択して [次へ] をクリックします。
7) [証明書ストア] にて、[証明書をすべて次のストアに配置する] が選択されており、[証明書ストア] が “中間証明機関” となっていることを確認し、[次へ] をクリックします。
8) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。
9) 中間証明書のインポート処理が完了したら、[正しくインポートされました。] というメッセージが表示されます。メッセージが表示されたら [OK] をクリックします。
10) [中間証明機関] に、対象の中間証明書が登録されていることを確認します。
クライアントで証明書ストアを確認
ドメインに参加しているクライアントにて、グループ ポリシーにて中間証明書が配布されていることを確認します。
1) Windows キーを押しがら R キーをクリックし、[ファイル名を指定して実行] を開き certmgr.msc と入力して [OK] をクリックします。
2) [中間証明機関] の証明書ストアを選択して、グループ ポリシーに設定したルート証明書が配布されていることを確認します。
