次の手順を使用して、Active Directory® 証明書サービス (AD CS) が、ドメイン メンバーのクライアント コンピューターに登録するコンピューター証明書のベースに使用する証明書テンプレートを構成できます。
この手順を実行するには、Enterprise Admins グループとルート ドメインの Domain Admins グループの両方のメンバーシップが最低限必要です。
重要 | |
「NPS サーバー証明書: テンプレートおよび自動登録を構成する」に示した手順に従って既にサーバー証明書を展開している場合は、ここに記載した手順 13 から 20 を実行する必要はありません。これらの手順は、コンピューター証明書の自動登録を構成するために使用するもので、前記のトピックに示した手順と同じです。 |
証明書のテンプレートと自動登録を構成するには |
Active Directory 証明書サービスがインストールされているコンピューターで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして「mmc」と入力し、[OK] をクリックします。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。[スナップインの追加と削除] ダイアログ ボックスが表示されます。
[利用できるスナップイン] で [証明機関] をダブルクリックします。スナップインを使用して管理する証明機関 (CA) を選択し、[完了] をクリックします。[証明機関] ダイアログ ボックスが閉じ、[スナップインの追加と削除] ダイアログ ボックスに戻ります。
[利用できるスナップイン] で [証明書テンプレート] をダブルクリックし、[OK] をクリックします。
コンソール ツリーで [証明書テンプレート] をクリックします。すべての証明書テンプレートが詳細ウィンドウに表示されます。
詳細ウィンドウで、[ワークステーション認証] テンプレートをクリックします。
[操作] メニューの [テンプレートの複製] をクリックします。[テンプレートの複製] ダイアログ ボックスが表示されます。実際の展開に適したテンプレート バージョンを選択し、[OK] をクリックします。新しいテンプレート プロパティのダイアログ ボックスが表示されます。
[全般] タブの [表示名] に証明書テンプレートの新しい名前を入力するか、既定の名前のままにします。
[セキュリティ] タブをクリックします。[グループ名またはユーザー名] で [Domain Computers] をクリックします。
[Domain Computers のアクセス許可] の [許可] で、[登録] チェック ボックスおよび [自動登録] チェック ボックスをオンにし、[OK] をクリックします。
[証明機関] をダブルクリックし、証明機関名をダブルクリックし、[証明書テンプレート] をクリックします。[操作] メニューの [新規作成] をポイントし、[発行する証明書テンプレート] をクリックします。[証明書テンプレートの選択] ダイアログ ボックスが表示されます。
構成した証明書テンプレートの名前をクリックし、[OK] をクリックします。たとえば、既定のテンプレート名を変更しなかった場合は、[ワークステーション認証のコピー] をクリックして [OK] をクリックします。
Active Directory ドメイン サービス (AD DS) がインストールされているコンピューターで [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックして「mmc」と入力し、[OK] をクリックします。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。[スナップインの追加と削除] ダイアログ ボックスが表示されます。
[スナップインの追加と削除] ダイアログ ボックスの [利用できるスナップイン] で、[グループ ポリシー管理エディター] をダブルクリックします。グループ ポリシー オブジェクトの選択ウィザードが表示されます。[参照] をクリックし、[既定のドメイン ポリシー] を選択します。[OK] をクリックして [完了] をクリックし、[OK] をもう一度クリックします。
[既定のドメイン ポリシー] をダブルクリックします。[コンピューターの構成]、[ポリシー]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に開きます。
詳細ウィンドウで、[証明書サービス クライアント - 自動登録] をダブルクリックします。[証明書サービス クライアント - 自動登録の設定のプロパティ] ダイアログ ボックスが表示されます。
[証明書サービス クライアント - 自動登録の設定のプロパティ] ダイアログ ボックスの [構成モデル] で、[有効] を選択します。
[有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する] チェック ボックスをオンにします。
[証明書テンプレートを使用する証明書を更新する] チェック ボックスをオンにし、[OK] をクリックします。
その他の考慮事項
この手順を完了すると、ドメイン メンバーのクライアント コンピューターはグループ ポリシーの更新時に自動的にクライアント コンピューターの証明書を登録します。グループ ポリシーを最新の状態に更新するには、クライアント コンピューターを再起動するか、コマンド プロンプトで gpupdate を実行します。