次の手順を使用して、Active Directory® 証明書サービス (AD CS) が、ドメイン メンバーのクライアント コンピューターに登録するコンピューター証明書のベースに使用する証明書テンプレートを構成できます。

この手順を実行するには、Enterprise Admins グループとルート ドメインの Domain Admins グループの両方のメンバーシップが最低限必要です。

重要

NPS サーバー証明書: テンプレートおよび自動登録を構成する」に示した手順に従って既にサーバー証明書を展開している場合は、ここに記載した手順 13 から 20 を実行する必要はありません。これらの手順は、コンピューター証明書の自動登録を構成するために使用するもので、前記のトピックに示した手順と同じです。

証明書のテンプレートと自動登録を構成するには

  1. Active Directory 証明書サービスがインストールされているコンピューターで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして「mmc」と入力し、[OK] をクリックします。

  2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。[スナップインの追加と削除] ダイアログ ボックスが表示されます。

  3. [利用できるスナップイン] で [証明機関] をダブルクリックします。スナップインを使用して管理する証明機関 (CA) を選択し、[完了] をクリックします。[証明機関] ダイアログ ボックスが閉じ、[スナップインの追加と削除] ダイアログ ボックスに戻ります。

  4. [利用できるスナップイン] で [証明書テンプレート] をダブルクリックし、[OK] をクリックします。

  5. コンソール ツリーで [証明書テンプレート] をクリックします。すべての証明書テンプレートが詳細ウィンドウに表示されます。

  6. 詳細ウィンドウで、[ワークステーション認証] テンプレートをクリックします。

  7. [操作] メニューの [テンプレートの複製] をクリックします。[テンプレートの複製] ダイアログ ボックスが表示されます。実際の展開に適したテンプレート バージョンを選択し、[OK] をクリックします。新しいテンプレート プロパティのダイアログ ボックスが表示されます。

  8. [全般] タブの [表示名] に証明書テンプレートの新しい名前を入力するか、既定の名前のままにします。

  9. [セキュリティ] タブをクリックします。[グループ名またはユーザー名] で [Domain Computers] をクリックします。

  10. [Domain Computers のアクセス許可] の [許可] で、[登録] チェック ボックスおよび [自動登録] チェック ボックスをオンにし、[OK] をクリックします。

  11. [証明機関] をダブルクリックし、証明機関名をダブルクリックし、[証明書テンプレート] をクリックします。[操作] メニューの [新規作成] をポイントし、[発行する証明書テンプレート] をクリックします。[証明書テンプレートの選択] ダイアログ ボックスが表示されます。

  12. 構成した証明書テンプレートの名前をクリックし、[OK] をクリックします。たとえば、既定のテンプレート名を変更しなかった場合は、[ワークステーション認証のコピー] をクリックして [OK] をクリックします。

  13. Active Directory ドメイン サービス (AD DS) がインストールされているコンピューターで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして「mmc」と入力し、[OK] をクリックします。

  14. [ファイル] メニューの [スナップインの追加と削除] をクリックします。[スナップインの追加と削除] ダイアログ ボックスが表示されます。

  15. [スナップインの追加と削除] ダイアログ ボックスの [利用できるスナップイン] で、[グループ ポリシー管理エディター] をダブルクリックします。グループ ポリシー オブジェクトの選択ウィザードが表示されます。[参照] をクリックし、[既定のドメイン ポリシー] を選択します。[OK] をクリックして [完了] をクリックし、[OK] をもう一度クリックします。

  16. [既定のドメイン ポリシー] をダブルクリックします。[コンピューターの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に開きます。

  17. 詳細ウィンドウで、[証明書サービス クライアント - 自動登録] をダブルクリックします。[証明書サービス クライアント - 自動登録の設定のプロパティ] ダイアログ ボックスが表示されます。

  18. [証明書サービス クライアント - 自動登録の設定のプロパティ] ダイアログ ボックスの [構成モデル] で、[有効] を選択します。

  19. [有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する] チェック ボックスをオンにします。

  20. [証明書テンプレートを使用する証明書を更新する] チェック ボックスをオンにし、[OK] をクリックします。

その他の考慮事項

この手順を完了すると、ドメイン メンバーのクライアント コンピューターはグループ ポリシーの更新時に自動的にクライアント コンピューターの証明書を登録します。グループ ポリシーを最新の状態に更新するには、クライアント コンピューターを再起動するか、コマンド プロンプトで gpupdate を実行します。

目次