キーのアーカイブ処理は、証明書の発行時に行われます。したがって、証明書テンプレートに基づいて証明書が発行される前に、キーをアーカイブするようにこのテンプレートを変更する必要があります。
キーのアーカイブを基本暗号化ファイル システム (EFS) 証明書テンプレートと共に使用することをお勧めします。これにより、データの損失からユーザーを保護できるほか、他の種類の証明書に適用する場合にも役立ちます。
この手順を実行するには、最低限でも Domain Admins、Enterprise Admins、またはそれと同等のメンバーシップが必要です。詳細については、「役割ベースの管理を実装する」を参照してください。
キーのアーカイブと回復用に証明書テンプレートを構成するには |
証明書テンプレート スナップインを開きます。
詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[テンプレートの複製] をクリックします。
[テンプレートの複製] ダイアログ ボックスで、[Windows Server 2003 Enterprise] をオンにします (ただし、すべての証明機関 (CA) およびクライアント コンピューターが Windows Server 2008 R2、Windows Server 2008、Windows 7、または Windows Vista を実行している場合を除く)。
[テンプレート] ボックスに新しいテンプレートの表示名を入力し、必要に応じてその他のプロパティを変更します。
[セキュリティ] タブで、[追加] をクリックし、証明書を発行するユーザーまたはグループの名前を入力して、[OK] をクリックします。
[グループ名またはユーザー名] で、追加したユーザー名またはグループ名をクリックします。[アクセス許可] で、[読み取り] チェック ボックスと [登録] チェック ボックスをオンにします。証明書を自動的に発行する場合は、[自動登録] チェック ボックスもオンにします。
注 自動登録を実装するには、3 つのチェック ボックスをすべてオンにする必要があります。
[要求処理] タブで、[サブジェクトの秘密キーをアーカイブする] チェック ボックスをオンにします。
ユーザーが既に EFS 証明書を保持していて、その証明書がキーのアーカイブと回復用に構成されていない場合は、[優先するテンプレート] タブをクリックし、[追加] をクリックして、置き換えるテンプレートの名前をクリックします。
[OK] をクリックします。
ユーザーは、キー回復が有効になっている証明書を登録するまでは、キーのアーカイブによって保護されません。同じ証明書をユーザーが保持していても、その証明書が発行されたのがキーのアーカイブが有効になる前である場合は、キーのアーカイブによる保護の対象にはなりません。クライアントが以前のテンプレートに基づく有効な証明書を既に保持している場合は、クライアントを再登録して、変更されたテンプレートに基づく証明書を取得する必要があります。クライアントの再登録の詳細については、すべての証明書保持者の再登録に関するページ (英語の可能性あり) (