【Windows】グループ ポリシーを用いたルート証明書の配布

ワークグループのサーバー OS のコンピューター上でスタンドアロン CA を構築した場合、CA 証明書がクライアントに自動で配布されることはありません。

そのため、構築した CA サーバーで発行した証明書を利用する場合、証明書をインストールする前に CA 証明書を信頼できるものとしてインストールする必要があります。
もし、CA サーバーを利用するクライアントがドメイン環境で管理されている Windows OS 端末である場合、グループ ポリシーを利用して CA 証明書を配布することが可能です。

今回はスタンドアロンで構築したルート証明書を、ドメイン環境で配布する手順を紹介します。
(任意のルート証明書をドメイン環境に配布する場合でも同様の手順です)

 

グループ ポリシーでルート証明書を配布する手順

1) ドメイン コントローラーに管理者権限をもつユーザーにログオンします。

2) 配布したいルート証明書のエクスポート ファイルを用意して、任意のフォルダに保存します。

 

3) スタートボタンより、[Windows 管理ツール] より [グループ ポリシーの管理] を開き、ルート証明書をドメイン環境に配布する際に使用する GPO を右クリックして [編集] をクリックします。

 

4) グループ ポリシー管理エディターの画面の左ペインより、[コンピューターの構成] – [ポリシー] – [Windows の設定] – [セキュリティの設定] – [公開キーのポリシー] – [信頼されたルート証明機関] を右クリックして [インポート] をクリックします。

 

5) [証明書のインポート ウィザードの開始] にて、[次へ] をクリックします。

 

6) [ファイル名] にて対象のルート証明書のエクスポート ファイルを選択して [次へ] をクリックします。

 

7) [証明書ストア] にて、[証明書をすべて次のストアに配置する] が選択されており、[証明書ストア]“信頼されたルート証明機関” となっていることを確認し、[次へ] をクリックします。

 

8) [証明書のインポート ウィザードの完了] にて、[完了] をクリックします。

 

9) ルート証明書のインポート処理が完了したら、[正しくインポートされました。] というメッセージが表示されます。メッセージが表示されたら [OK] をクリックします。

 

10) [信頼されたルート証明機関] に、対象のルート証明書が登録されていることを確認します。

 

クライアントで証明書ストアを確認

ドメインに参加しているクライアントにて、グループ ポリシーにてルート証明書を配布されていることを確認します。

 

1) Windows キーを押しがら R キーをクリックし、[ファイル名を指定して実行] を開き certmgr.msc と入力して [OK] をクリックします。

 

2) [信頼されたルート証明機関] の証明書ストアを選択して、グループ ポリシーに設定したルート証明書が配布されていることを確認します。