【AD CS】グループ ポリシーを用いた中間証明書の配布

インターネットに接続できない環境で Windows OS に中間証明機関のCA証明書を配布したい場合、ドメイン環境であればグループ ポリシーを利用することで簡単に中間証明書を配布することができます。

今回は、中間証明書をドメイン環境で配布する手順を紹介します。

グループ ポリシーで中間証明書を配布する手順

1) ドメイン コントローラーに管理者権限をもつユーザーにログオンします。

2) 配布したい中間証明書のエクスポート ファイルを用意して、任意のフォルダに保存します。

 

3) スタートボタンより、[Windows 管理ツール] より [グループ ポリシーの管理] を開き、中間証明書をドメイン環境に配布する際に使用する GPO を右クリックして [編集] をクリックします。

 

4) グループ ポリシー管理エディターの画面の左ペインより、[コンピューターの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [中間証明機関] を右クリックして [インポート] をクリックします。

中間証明機関をインポート

 

5) [証明書のインポート ウィザードの開始] にて、[次へ] をクリックします。

証明書のインポート ウィザードの開始

 

6) [ファイル名] にて対象のルート証明書のエクスポート ファイルを選択して [次へ] をクリックします。

証明書ファイルの指定

 

7) [証明書ストア] にて、[証明書をすべて次のストアに配置する] が選択されており、[証明書ストア] が “中間証明機関” となっていることを確認し、[次へ] をクリックします。

証明書ストアの指定

8) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。

 

9) ルート証明書のインポート処理が完了したら、[正しくインポートされました。] というメッセージが表示されます。メッセージが表示されたら [OK] をクリックします。

 

10) [中間証明機関] に、対象のルート証明書が登録されていることを確認します。

クライアントで証明書ストアを確認

ドメインに参加しているクライアントにて、グループ ポリシーにて中間証明書が配布されていることを確認します。

1) Windows キーを押しがら R キーをクリックし、[ファイル名を指定して実行] を開き certmgr.msc と入力して [OK] をクリックします。

2) [中間証明機関] の証明書ストアを選択して、グループ ポリシーに設定したルート証明書が配布されていることを確認します。