インターネットに接続できない環境で Windows OS に中間証明機関のCA証明書を配布したい場合、ドメイン環境であればグループ ポリシーを利用することで簡単に中間証明書を配布することができます。
今回は、中間証明書をドメイン環境で配布する手順を紹介します。
グループ ポリシーで中間証明書を配布する手順
1) ドメイン コントローラーに管理者権限をもつユーザーにログオンします。
2) 配布したい中間証明書のエクスポート ファイルを用意して、任意のフォルダに保存します。
3) スタートボタンより、[Windows 管理ツール] より [グループ ポリシーの管理] を開き、中間証明書をドメイン環境に配布する際に使用する GPO を右クリックして [編集] をクリックします。
4) グループ ポリシー管理エディターの画面の左ペインより、[コンピューターの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [中間証明機関] を右クリックして [インポート] をクリックします。
5) [証明書のインポート ウィザードの開始] にて、[次へ] をクリックします。
6) [ファイル名] にて対象のルート証明書のエクスポート ファイルを選択して [次へ] をクリックします。
7) [証明書ストア] にて、[証明書をすべて次のストアに配置する] が選択されており、[証明書ストア] が “中間証明機関” となっていることを確認し、[次へ] をクリックします。
8) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。
9) 中間証明書のインポート処理が完了したら、[正しくインポートされました。] というメッセージが表示されます。メッセージが表示されたら [OK] をクリックします。
10) [中間証明機関] に、対象の中間証明書が登録されていることを確認します。
クライアントで証明書ストアを確認
ドメインに参加しているクライアントにて、グループ ポリシーにて中間証明書が配布されていることを確認します。
1) Windows キーを押しがら R キーをクリックし、[ファイル名を指定して実行] を開き certmgr.msc と入力して [OK] をクリックします。
2) [中間証明機関] の証明書ストアを選択して、グループ ポリシーに設定したルート証明書が配布されていることを確認します。
