エンタープライズ証明機関 (CA) では、さまざまな目的のために証明書を発行できます。これには、デジタル署名や、S/MIME (Secure Multipurpose Internet Mail Extensions) による電子メールのセキュリティ保護、Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) によるセキュリティで保護された Web サーバーに対する認証、スマート カードによるドメインへのログオンなどが含まれます。
エンタープライズ CA には、次のような特徴があります。
-
Active Directory ドメイン サービス (AD DS) へのアクセスが必要です。
-
グループ ポリシーを使用して、ドメイン内のすべてのユーザーおよびコンピューターの、信頼されたルート証明機関証明書ストアに証明書を伝達します。
-
ユーザー証明書および証明書失効リスト (CRL) を AD DS に発行します。証明書を AD DS に発行するためには、CA がインストールされているサーバーが Certificate Publishers グループのメンバーである必要があります。サーバーが所属するドメインではこの要件が自動的に満たされますが、他のドメインの証明書を発行するためには、適切なセキュリティのアクセス許可をサーバーに委任する必要があります。
 | 注 |
|
エンタープライズ ルート CA をインストールするには、Domain Admins グループのメンバーであるか、AD DS に対する書き込みアクセス権限を持つ管理者である必要があります。 |
エンタープライズ CA では、証明書テンプレートに基づいて証明書を発行します。証明書テンプレートを使用すると、次の機能を実行できるようになります。
-
証明書の登録時にエンタープライズ CA でユーザーの資格情報チェックを実施できます。各証明書テンプレートには AD DS でのセキュリティのアクセス許可セットがあり、これにより、要求された種類の証明書を受信することを証明書の要求者が承認されているかどうかを確認します。
-
証明書のサブジェクト名は、AD DS の情報に基づいて自動的に生成されるか、要求者によって明示的に指定されます。
-
ポリシー モジュールでは、事前定義された証明書の拡張機能の一覧を、発行された証明書に追加します。拡張機能は証明書テンプレートで定義されます。これにより、証明書およびその用途に関して証明書の要求者が指定する必要のある情報量を減らすことができます。
-
自動登録を使用して証明書を発行できます。