キー回復エージェントとは、エンド ユーザーの代わりに証明書を回復する権限があるユーザーのことです。キー回復エージェントのロールは、機密データを含むことがあるため、このロールは、十分信頼できる人物のみに割り当てることが必要です。
キー回復エージェントを識別するには、このロールを割り当てられた人物がキー回復エージェントの証明書を登録できるように、キー回復エージェントの証明書テンプレートを構成する必要があります。
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
キー回復エージェントの証明書テンプレートを構成するには |
証明書テンプレート スナップインを開きます。
コンソール ツリーで、キー回復エージェントの証明書テンプレートを右クリックします。
[テンプレートの複製] をクリックします。
[テンプレートの複製] ダイアログ ボックスで、[Windows Server 2003 Enterprise] をオンにします (ただし、すべての証明機関 (CA) およびクライアント コンピューターが Windows Server 2008 R2、Windows Server 2008、Windows 7、または Windows Vista を実行している場合を除く)。
[テンプレート] で、新しいテンプレート表示名を入力し、必要に応じて、他のオプションのプロパティを変更します。
[セキュリティ] タブで、[追加] をクリックし、キー回復エージェントの証明書を発行するユーザーの名前を入力して、[OK] をクリックします。
[グループ名またはユーザー名] で、追加したユーザーの名前をクリックします。[アクセス許可] で、[読み取り] チェック ボックスと [登録] チェック ボックスをオンにし、[OK] をクリックします。
注 キー回復プロセスのセキュリティと制御を強化するため、キー回復エージェントの証明書は自動登録しないことをお勧めします。
作成した新しい証明書テンプレートに基づいて、新しいキー回復エージェントが証明書を登録できるようにするには、まず、そのテンプレートを CA に追加する必要があります。この手順を完了する方法の詳細については、証明書テンプレートの証明機関への追加に関するページ (英語の可能性あり) (
証明書が読み取りと登録のアクセス許可で構成された場合、新しいキー回復エージェントは、証明書スナップインおよび証明書のインポート ウィザードを使用して、キー回復証明書を取得する必要があります。証明書テンプレートが自動登録のアクセス許可で構成された場合、次にユーザーがネットワークにログオンしたときに、自動的に証明書が発行されます。
注 | |
既定では、[発行の要件] タブの [CA 証明書マネージャーの許可] チェック ボックスはオンになっています。このチェック ボックスをオフにしない限り、キー回復エージェントの証明書を発行するためには、証明書要求を CA マネージャーが承認する必要があります。 |
次の手順「CA のキーのアーカイブを有効にする」は、キー回復エージェントがこの証明書を取得するまでは、完了できません。