現在のフォレストの Active Directory ドメイン内にあるすべての証明機関 (CA) の証明書は、NTAuthCertificates コンテナーに格納されます。エンタープライズ CA 証明書は、新しい CA をインストールしたときに自動的に追加されます。

Enterprise Admins グループのメンバーでないユーザーによって作成されたスタンドアロン CA など、新しい CA を作成したときに CA の証明書が自動的に追加されない場合でも、CA の証明書を手動で NTAuthCertificates コンテナーに追加することができます。この手順を使用して、スマート カードのログオンやドメイン コントローラーの証明書を発行するために使用した、Microsoft 以外の CA の CA 証明書を追加することもできます。これらの CA 証明書をエンタープライズ NTAuth ストアに公開することで、管理者は、これらの種類の証明書を発行するために CA が信頼できることを示すことができます。

この手順を実行するには、Enterprise Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要になります。

Windows のインターフェイスを使用して証明書を NTAuthCertificates コンテナーに追加するには
  1. CA の証明書を、DER (Distinguished Encoding Rules) でエンコードされたバイナリ形式、または base-64 でエンコードされた X.509 形式のいずれかをサポートする .cer ファイルにエクスポートします。

  2. エンタープライズ PKI スナップインを開き、コンソール ツリーで、[エンタープライズ PKI] を右クリックし、[AD コンテナーの管理] をクリックします。

  3. [NTAuthCertificates] コンテナーをクリックします。

  4. [追加] をクリックし、追加する証明書の .cer ファイルを探して、[OK] をクリックします。

Certutil コマンド ライン ツールを使用して、証明書を NTAuthCertificates コンテナーに追加することもできます。

コマンド ラインを使用して証明書を NTAuthCertificates コンテナーに追加するには
  1. CA の証明書を、DER でエンコードされたバイナリ形式、または base-64 でエンコードされた X.509 形式のいずれかをサポートする .cer ファイルにエクスポートします。

  2. コマンド プロンプト ウィンドウを開き、次のコマンドを入力して、Enter キーを押します。

    certutil -dspublish -f filename NTAuthCA