Windows Server OS には「Active Directory 証明書サービス(AD CS)」という役割が OS 標準で導入されています。「Active Directory 証明書サービス(AD CS)」の役割にある「証明機関」の機能をインストールすれば、簡単にプライベートの証明機関を構築することができます。
また、AD CS の役割の中には「証明機関 Web 登録」という機能があり、この機能をインストールすると、Web ブラウザ(Internet Explorer)から構築したプライベートの証明機関を利用することができるようになります。
今回は、証明機関 Web 登録を利用する時に、[証明書の要求の詳細設定] のページにある [キーのオプション] にある [CSP] の選択肢の項目が表示されない事象の原因と解決策について紹介します。
事象
証明機関 Web 登録にて、証明書の発行要求を送信する時に、[証明書の要求の詳細設定] にて [キーのオプション] にある [CSP] の項目が “読み込んでます…” と表示されて、CSP の項目が選択できません。
[CSP] の項目が “読み込んでいます…” と表示された状態で、[送信] をクリックして証明書の発行要求を送信しても、以下のメッセージが表示されて送信に失敗します。
“このページの読み込みがまだ終了していません。数秒待ってから、再実行してください。“
原因
[証明書の要求の詳細設定] の画面を表示したときに、VBScript が実行されていないと CSP の選択項目が正常に読み込めず、”読み込んでいます…” という項目が表示された状態となります。証明機関 Web 登録を利用する場合には、VBScript が実行できる環境で利用する必要があります。
解決方法
証明機関 Web 登録を利用する際には、アクセスする Web ブラウザは Internet Explorer である必要があります。Internet Explorer では、信頼済みサイト/イントラネットの場合にはデフォルトで VBScript が有効です。そのため、CPS の選択項目が選択できるように、Internet Explorer の設定にて証明機関 Web 登録をサイトを「信頼済みサイト/イントラネット」に登録しておくことで、ページを読み込んだときに確実に VBScript が実行されるように構成します。
また、Internet Explorer にて互換ビューを設定すると、X-UA-Compatible ヘッダに記載されているドキュメントモードをレンダリングする動作となります。証明機関 Web 登録の[証明書の要求の詳細設定] のページには、X-UA-Compatible ヘッダで IE7 モードが指定されています。そのため、互換ビューで表示されるように構成します。
これらのことから、証明機関 Web 登録にて CSP の選択肢が表示されない事象の対処策として、以下の設定を行います。
- 信頼済みサイト/イントラネットに登録(=VBScript を有効)
- 互換ビューでレンダリング
具体的な手順は以下の通りです。
1) 問題が発生している端末にて、Internet Explorer を開きます。
2) 設定から [互換表示設定] を開きます。
3) [互換表示設定] にて、[追加する Web サイト] の項目に証明機関 Web サイトのドメイン名を指定して [追加] をクリックします。
4) [互換表示に追加した Web サイト] に、証明機関 Web サイトのドメイン名が指定されたことを確認したら [イントラネット サイトを互換表示で表示する] のチェックボックスを有効にします。
