ほとんどの組織では、ルート証明機関 (CA) の証明書は、組織がインストールする最初の Active Directory 証明書サービス (AD CS) 役割のサービスです。基本の公開キー基盤 (PKI) では、ルート CA は組織が展開する唯一の CA である可能性があります。

1 つの CA だけをインストールする場合も、複数の CA をインストールする場合も、ルート CA 証明書は、証明書の発行と PKI 全体の使用を規定する基盤と基本規則を設定します。ルート証明書が PKI 階層で許容できるものとできないものについて規約を定義すると、AD CS はその規約を他の CA および AD CS 役割サービスに適用します。

ルート CA は、スタンドアロンまたはエンタープライズ CA です。組織に複数の CA がある場合、多くの組織では、下位の CA 証明書に対する要求を処理する必要がある場合を除いて、ルート CA をオフラインのままにしておくことで、ルート CA の公開を最小限に抑えます。

この手順を実行するためには、ローカルの Administrators、またはそれと同等のメンバーシップが最低限必要です。これがエンタープライズ CA になる場合、この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。

ルート CA をインストールするには
  1. サーバー マネージャーを開き、[役割の追加] をクリックし、[次へ] をクリックして、[Active Directory 証明書サービス] をクリックします。[次へ] を 2 回クリックします。

  2. [役割サービスの選択] ページで、[証明機関] をクリックします。[次へ] をクリックします。

  3. [セットアップの種類の指定] ページで、[スタンドアロン] または [エンタープライズ] をクリックします。[次へ] をクリックします。

    エンタープライズ CA をインストールするには、ドメイン コントローラーへのネットワーク接続が必要です。

  4. [CA の種類の指定] ページで、[ルート CA] をクリックします。[次へ] をクリックします。

    詳細については、「証明機関の種類」を参照してください。

  5. [秘密キーの設定] ページで、[新しい秘密キーを作成する] をクリックします。[次へ] をクリックします。

  6. 暗号化の構成ページで、暗号化サービス プロバイダー、キーの長さ、およびハッシュ アルゴリズムを選択します。[次へ] をクリックします。

    詳細については、「CA の暗号化オプション」を参照してください。

  7. [CA 名を構成] ページで、CA を識別するための一意の名前を作成します。[次へ] をクリックします。

    詳細については、「証明機関の名前付け規則」を参照してください。

  8. [有効期間の設定] ページで、ルート CA 証明書が有効な年数または月数を指定します。[次へ] をクリックします。

  9. [証明書データベースを構成] ページで、証明書データベースと証明書データベース ログにカスタムの場所を指定する場合を除いて、既定の場所を受け入れます。[次へ] をクリックします。

    詳細については、「証明書データベース」を参照してください。

  10. [インストール オプションの確認] ページで、選択したすべての構成設定を確認します。これらのオプションをすべて受け入れる場合は、[インストール] をクリックして、セットアップ処理が完了するまで待ちます。


目次