管理者は [EV (Extended Validation)] タブを使用して、グループ ポリシーによって配布されるルート証明書に、EV (Extended Validation) 証明書ポリシーを追加できます。EV 証明書ポリシーをルート証明書とイントラネット Web サイトに発行された証明書に追加することで、サイトが信頼できることを視覚的に示すインジケーターを提供できます。
イントラネット Web サイトで EV 証明書を使用するには、次の手順を実行する必要があります。
- EV 証明書ポリシーを証明書テンプレートに追加する。
- EV 証明書ポリシーをルート証明書に追加する。
- EV 証明書をイントラネット Web サイトに発行する。
EV 証明書ポリシーを証明書テンプレートに追加する
EV 証明書ポリシーは、ルート証明書だけでなく、イントラネット Web サイトに発行されている証明書と、証明書パス内のすべての発行元証明機関 (CA) 証明書にも追加する必要があります。
この手順では、組織の Web サーバー証明書の発行に使用される証明書テンプレートか、または次の要件を満たす証明書テンプレートを変更できます。
- 証明書テンプレートのバージョンが 2 または 3 である。
- 証明書の目的に署名と暗号化が含まれる。
- アプリケーション ポリシー拡張に、サーバー認証が含まれる。
発行元 CA は、次の要件を満たしている必要があります。
- 発行元 CA 証明書の証明書パスに、EV 証明書ポリシーが追加されているルート証明書が含まれている。
- 発行元 CA 証明書に、すべての発行ポリシーまたは 1 つの EV 証明書ポリシーが含まれている。
- 発行元 CA はエンタープライズ CA である。
この手順を完了するために最低限必要なグループ メンバーシップは、Enterprise Admins です。
 | EV 証明書ポリシーを証明書テンプレートに追加するには |
発行元 CA 上で、サーバー マネージャーを開きます。コンソール ツリーで [役割]、[Active Directory 証明書サービス] を順に展開し、[証明書テンプレート] をクリックします。
イントラネット Web サイトへの証明書の発行に使用されるテンプレートをダブルクリックします。
[拡張] タブをクリックします。
[アプリケーション ポリシー] をクリックし、[編集] をクリックして [アプリケーション ポリシーの拡張の編集] ダイアログ ボックスを開きます。
[追加] をクリックして [アプリケーションのポリシーの追加] ダイアログ ボックスを開きます。
[新規] をクリックして [新しいアプリケーションのポリシー] ダイアログ ボックスを開きます。
EV 証明書ポリシーの名前を入力します。この名前は、発行された証明書の拡張機能、および証明書テンプレート スナップインのテンプレートのプロパティに表示されます。
一意のオブジェクト識別子 (OID) の値が自動的に生成されます。次の手順で使用するため、このオブジェクト識別子の値をコピーします。[OK] をクリックします。
[アプリケーション ポリシー] の一覧で、作成したポリシーを選択します。[OK] をクリックします。
[OK] をクリックし、アプリケーション ポリシー拡張を保存します。[拡張] タブの [アプリケーション ポリシーの説明] ボックスに EV 証明書ポリシーが表示されることを確認します。
[セキュリティ] タブをクリックします。イントラネット Web サイトの証明書を要求するグループまたはユーザーに [読み取り] および [登録] アクセス許可が付与されていることを確認します。
[OK] をクリックして、証明書テンプレートを保存します。
コンソール ツリーで、CA をダブルクリックします。
コンソール ツリーで、[証明書テンプレート] を右クリックし、[新規作成]、[発行する証明書テンプレート] を順にクリックして、[証明書テンプレートの選択] ダイアログ ボックスを開きます。
EV 証明書ポリシーが追加されている証明書テンプレートを選択し、[OK] をクリックします。
EV 証明書ポリシーをルート証明書に追加する
この手順を完了するために最低限必要なグループ メンバーシップは、Enterprise Admins です。
| EV 証明書ポリシーをルート証明書に追加するには |
[スタート]、[ファイル名を指定して実行] の順にクリックします。「gpmc.msc」と入力し、[OK] をクリックして、グループ ポリシー管理コンソール (GPMC) を開きます。
コンソール ツリーで、編集するポリシーが含まれているフォレストおよびドメインを展開し、[グループ ポリシー オブジェクト] をクリックします。
編集するポリシーを右クリックし、[編集] をクリックします。
コンソール ツリーの [コンピューターの構成] で、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー]、[信頼されたルート証明機関] を順に展開します。
ルート証明書が表示されない場合は、ルート CA から CA 証明書をエクスポートし、その証明書を [信頼されたルート証明機関] にインポートします。「証明書をエクスポートする」を参照してください。
ルート証明書を右クリックし、[プロパティ] をクリックして、[EV (Extended Validation)] タブをクリックします。
組織の EV 証明書ポリシーを表すオブジェクト識別子の値を入力します。上記の手順を使用して EV 証明書ポリシーを作成している場合は、同じオブジェクト識別子の値を使用できます。
[OID の追加] をクリックし、[OK] をクリックして変更を保存します。
 | 注 |
グループ ポリシーの変更は、コンピューターのスタートアップ中やユーザーのログオン中に、グループ ポリシーの更新間隔に基づき定期的にドメイン メンバーによって適用されます。既定の更新間隔は 90 分です。ドメイン メンバー上でグループ ポリシーを直ちに更新するには、gpupdate コマンドを実行します。 |
EV 証明書を発行する
EV 証明書を要求し、イントラネット Web サーバーに EV 証明書をインストールするには、次の関連トピックの手順に従ってください。
- イントラネット Web サーバーで、ローカル コンピューター用に証明書スナップインを開きます。「証明書スナップインを MMC に追加する」を参照してください。
- EV 証明書を要求します。「証明書の要求ウィザードを使って証明書を要求する」を参照してください。
- Web サイト バインドを構成します。[サイト バインドの追加] ダイアログ ボックスまたは [サイト バインドの編集] ダイアログ ボックスに関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=143106 ) を参照してください。
その他の参照情報
- EV (Extended Validation) SSL 証明書に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=142392 ) - 証明書のプロパティを表示する