次の手順を使用して、Active Directory® 証明書サービス (AD CS) をインストールし、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を登録できるようにします。証明書ベースの認証を展開する場合は、NPS サーバーにサーバー証明書が必要です。NPS サーバーは、認証処理中に各自のサーバー証明書を識別の証拠としてクライアント コンピューターに送信します。

この手順を実行するには、Enterprise Admins グループとルート ドメインの Domain Admins グループの両方のメンバーシップが最低限必要です。

Active Directory 証明書サービスをインストールするには

  1. Enterprise Admins グループとルート ドメインの Domain Admins グループの両方のメンバーであるアカウントでログオンします。

  2. [スタート] ボタンをクリックし、[管理ツール]、[サーバー マネージャー] の順にクリックします。サーバー マネージャー コンソールが表示されます。左側のウィンドウで [役割] をクリックし、詳細ウィンドウで [役割の追加] をクリックします。

  3. 役割の追加ウィザードが表示されます。[次へ] をクリックします。

  4. [サーバーの役割の選択] ページで [役割] の [Active Directory 証明書サービス] を選択します。[次へ] を 2 回クリックします。

  5. [役割サービスの選択] ページで [役割サービス] の [証明機関] をクリックし、[次へ] をクリックします。

  6. [Active Directory 証明書サービスについて] ページに記載されている情報を確認して、[次へ] をクリックします。

  7. [役割サービスの選択] ページで [認証機関] が選択されていることを確認し、追加する必要のある役割サービスを選択して、[次へ] をクリックします。

  8. [セットアップの種類の指定] ページで [エンタープライズ] が選択されていることを確認して、[次へ] をクリックします。

  9. [CA の種類の指定] ページで、[ルート CA] をクリックし、[次へ] をクリックします。

  10. [秘密キーの設定] ページで [新しい秘密キーを作成する] が選択されていることを確認して、[次へ] をクリックします。

  11. [CA の暗号化を構成] ページでは、既定の設定値を変更しないか、要件に応じて設定を変更します。[キーの長さ] の既定値は 2048 で、従来の既定のキーの長さである 1024 の 2 倍の長さがあります。ネットワークのサイズやトラフィックに応じて、キーの長さを調整します。[次へ] をクリックします。

  12. [CA 名を構成] では、入力されている CA の共通名をそのまま使用するか、必要に応じて名前を変更し、[次へ] をクリックします。

  13. [有効期間の設定] ページで、[この CA から生成される証明書の有効期間を選択] に、CA により発行された証明書の有効期間が終了する日付を指定する数値を入力し、時間の値 (年、月、週、日) を選択します。既定の設定値は 5 年間 (推奨) です。[次へ] をクリックします。

  14. [証明書データベースを構成] ページで、[証明書データベースの場所] および [証明書データベース ログの場所] に、これらの項目のフォルダーの場所を指定します。既定の場所以外の場所を指定する場合は、指定したフォルダーが、アクセス制御リスト (ACL) によって保護されていることを確認してください。ACL を使用すると、承認されていないユーザーやコンピューターが CA データベースおよび CA ログ ファイルへアクセスするのを防ぐことができます。[次へ] をクリックし、[完了] をクリックするか、選択した追加の役割サービスがあれば続けてインストールします。

目次