現在、使用する証明書の種類が増え続け、証明書の発行数も増え続けているため、一部の組織では、証明書の信頼関係を管理し、ドメイン内のユーザーが信頼されたルート証明書の独自のセットを構成しないようにしたいと考えています。また、一部の組織では、特定の信頼されたルート証明書を識別し、配布することで、追加の信頼関係が必要なビジネス シナリオを有効にすることも考えています。
このトピックでは、次の作業の手順を説明します。
ローカル コンピューターの信頼されたルート証明書を管理する
Administrators は、この手順を完了するために最低限必要なグループ メンバーシップです。
ローカル コンピューターの信頼されたルート証明書を管理するには |
[スタート] ボタン、[検索の開始] の順にクリックし、「mmc」と入力して、Enter キーを押します。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[利用できるスナップイン] の一覧の [ローカル グループ ポリシー オブジェクト エディター] をクリックし、[追加] をクリックします。次に、編集するローカル グループ ポリシー オブジェクト (GPO) のあるコンピューターを選択してから、[完了] をクリックします。
目的のスナップインをコンソールに追加し終えたら、[OK] をクリックします。
コンソール ツリーで、[ローカル コンピューター ポリシー]、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定] の順に移動し、[公開キーのポリシー] をクリックします。
[証明書パス検証の設定] をダブルクリックし、[ストア] タブをクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
[ユーザーごとの証明書ストア] の [ユーザーが信頼するルート証明機関 (CA) が証明書の検証に使用されることを許可する] および [ユーザーにピア信頼証明書を信頼することを許可する] チェック ボックスをオフにします。
[ルート証明書ストア] で、クライアント コンピューターが信頼できるルート CA を選択し、[OK] をクリックして新しい設定を適用します。
ドメインの信頼されたルート証明書を管理する
Domain Admins は、この手順を完了するために最低限必要なグループ メンバーシップです。
ドメインの信頼されたルート証明書を管理するには |
[サーバー マネージャー] を開き、[機能の概要] の [機能の追加] をクリックします。[グループ ポリシーの管理] チェック ボックスをオンにし、[次へ] をクリックして、[インストール] をクリックします。
[インストールの結果] ページにグループ ポリシー管理コンソール (GPMC) のインストールが正常に完了したことが表示されたら、[閉じる] をクリックします。
[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで、編集する [既定のドメイン ポリシー] GPO が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。
[既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。
GPMC で、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定] の順に移動し、[公開キーのポリシー] をクリックします。
[証明書パス検証の設定] をダブルクリックし、[ストア] タブをクリックします。
[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
[ユーザーごとの証明書ストア] で、[ユーザーごとの証明書ストア] チェック ボックスの [ユーザーが信頼するルート証明機関 (CA) が証明書の検証に使用されることを許可する] および [ユーザーにピア信頼証明書を信頼することを許可する] をオフにします。
[ルート証明書ストア] で、クライアント コンピューターが信頼できるルート CA を選択し、[OK] をクリックして新しい設定を適用します。
ローカル コンピューターの信頼されたルート証明機関ストアに証明書を追加する
Administrators は、この手順を完了するために最低限必要なグループ メンバーシップです。
ローカル コンピューターの信頼されたルート証明機関ストアに証明書を追加するには |
[スタート] ボタン、[検索の開始] の順にクリックし、「mmc」と入力して、Enter キーを押します。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[利用できるスナップイン] の一覧の [証明書] をクリックし、[追加] をクリックします。
[このスナップインで管理する証明書] から [コンピューター アカウント] をクリックし、[次へ] をクリックします。
[ローカル コンピューター] をクリックし、[完了] をクリックします。
目的のスナップインをコンソールに追加し終えたら、[OK] をクリックします。
コンソール ツリーで、[証明書] をダブルクリックします。
[信頼されたルート証明機関] ストアを右クリックします。
[インポート] をクリックして、証明書をインポートし、証明書のインポート ウィザードの指示に従います。
ドメインの信頼されたルート証明機関ストアに証明書を追加する
Domain Admins は、この手順を完了するために最低限必要なグループ メンバーシップです。
ドメインの信頼されたルート証明機関ストアに証明書を追加するには |
[サーバー マネージャー] を開き、[機能の概要] の [機能の追加] をクリックします。[グループ ポリシーの管理] チェック ボックスをオンにし、[次へ] をクリックして、[インストール] をクリックします。
[インストールの結果] ページに GPMC のインストールが正常に完了したことが表示されたら、[閉じる] をクリックします。
[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。
コンソール ツリーで、編集する [既定のドメイン ポリシー] GPO が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。
[既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。
GPMC で、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定] の順に移動し、[公開キーのポリシー] をクリックします。
[信頼されたルート証明機関] ストアを右クリックします。
[インポート] をクリックし、証明書のインポート ウィザードの指示に従って証明書をインポートします。
その他の参照情報