Windows Server 2008 R2 および Windows Server 2008 の証明書パス検証の設定を使用すると、ドメイン内のすべてのユーザーに関する証明書パスの検出および検証の設定を管理できます。グループ ポリシーを使用すると、これらの証明書検証の設定を簡単に構成および管理できます。これらの設定で実行できる主なタスクは次のとおりです。

  • 中間証明機関 (CA) の証明書を展開する。

  • 信頼できない証明書をブロックする。

  • コード署名に使用する証明書を管理する。

  • 証明書および証明書失効リスト (CRL) の取得に関する設定を構成する。

証明書パス検証の設定は、グループ ポリシーで行うことができます。[コンピューターの構成]、[Windows の設定]、[セキュリティの設定]、[公開キーのポリシー] の順に移動してください。

この場所で [証明書パス検証の設定] をダブルクリックし、次のタブをクリックすると、追加のオプションを使用できます。

  • [ストア]

  • [信頼された発行元]

  • [ネットワークの取得]

  • [失効]

次の手順では、証明書パス検証の設定を構成する方法について説明します。手順に続いて、これらの各領域の設定について説明します。

この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要になります。詳細については、「役割ベースの管理を実装する」を参照してください。

ドメインのパス検証グループ ポリシーを構成するには

  1. ドメイン コントローラーで、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[グループ ポリシーの管理] をクリックします。

  2. コンソール ツリーで、編集する [既定のドメイン ポリシー] グループ ポリシー オブジェクト (GPO) が含まれているフォレストおよびドメインの [グループ ポリシー オブジェクト] をダブルクリックします。

  3. [既定のドメイン ポリシー] GPO を右クリックし、[編集] をクリックします。

  4. グループ ポリシー管理コンソール (GPMC) で、[コンピューターの構成]、[Windows の設定]、[セキュリティの設定] の順に移動し、[公開キーのポリシー] をクリックします。

  5. [証明書パス検証の設定] をダブルクリックし、[ストア] タブをクリックします。

  6. [これらのポリシーの設定を定義する] チェック ボックスをオンにします。

  7. 適用する必要のあるオプションの設定を構成します。

  8. 変更が完了したら、別のタブをクリックして他の設定を変更するか、[OK] をクリックして新しい設定を適用します。

[ストア] タブ

組織によっては、ドメイン内のユーザーが独自の信頼されたルート証明書のセットを構成できないようにして、組織内の信頼できるルート証明書を指定する場合があります。[ストア] タブを使用すると、この方法を設定できます。

[ストア] タブでは次のオプションを使用できます。

  • [ユーザーが信頼するルート証明機関 (CA) が証明書の検証に使用されることを許可する]。このチェック ボックスをオフにすると、ユーザーは証明書の検証に使用する独自のルート CA 証明書を指定できなくなります。このオプションは、ユーザーが安全でないチェーンの証明書を信頼して検証することを防ぐのに役立ちます。ただし、アプリケーションでエラーが発生したり、証明書を検証する方法としてユーザーに表示されるルート証明書の信頼性にユーザーが注意を払わなくなる可能性があります。

  • [ユーザーにピア信頼証明書を信頼することを許可する]。このチェック ボックスをオフにすると、ユーザーは信頼するピア証明書を決定できなくなります。このオプションは、ユーザーが安全でない発行元の証明書を信頼することを防ぐのに役立ちます。ただし、アプリケーションでエラーが発生したり、信頼を確立する方法としての証明書にユーザーが注意を払わなくなる可能性があります。また、ピア信頼証明書を使用できる署名や暗号化など、証明書の使用目的を選択することもできます。

  • [クライアント コンピューターが信頼できるルート CA]。ここでは、ドメイン内のユーザーが信頼できる特定のルート CA を指定できます。

    • [サードパーティのルート CA とエンタープライズのルート CA ]。マイクロソフト以外のルート CA とエンタープライズ ルート CA の両方を含めることにより、ユーザーが信頼できるルート CA 証明書の範囲を広げます。

    • [エンタープライズのルート CA のみ]。エンタープライズ ルート CA のみを信頼するように制限することにより、実質的な信頼の対象が、Active Directory ドメイン サービス (AD DS) から認証情報を取得してこのサービスに証明書を発行する、内部のエンタープライズ CA によって発行された証明書に制限されます。

  • [CA は、ユーザー プリンシパル名の制約にも準拠する必要がある]。これらの設定でも、信頼対象が内部のエンタープライズ CA に制限されます。また、ユーザー プリンシパル名の制約によって、ユーザー プリンシパル名についての条件に準拠しない、認証に関連する証明書を信頼することを防ぐこともできます。

また、一部の組織では、特定の信頼されたルート証明書を識別し、配布することで、追加の信頼関係が必要なビジネス シナリオを有効にすることも考えています。ドメイン内のユーザーに配布する信頼されたルート証明書を識別するには、「ポリシーを使用して証明書を配布する」を参照してください。

[信頼された発行元] タブ

ソフトウェアの署名は、増え続けるソフトウェア発行者およびアプリケーション開発者によって、そのアプリケーションの発行元が信頼できることを確認するために使用されています。しかし、多くのユーザーは、自分がインストールするアプリケーションに関連付けられている署名証明書について理解していないか、無視しています。

証明書パスの検証ポリシーの [信頼された発行元] タブにあるポリシー オプションを使用すると、信頼できる発行元を決定する担当者を次のように制御できます。

  • 管理者とユーザー

  • 管理者のみ

  • エンタープライズ管理者のみ

また、このタブのポリシー オプションを使用すると、信頼された発行元の証明書が次の条件を満たすことを確認するように指定できます。

  • 失効していない

  • タイム スタンプが有効である

[ネットワークの取得] タブ

証明書を有効にするには、証明書失効リスト (CRL) などの証明書に関連するデータと証明書を Microsoft ルート証明書プログラムで定期的に更新する必要があります。ただし、有効性の確認と証明書失効データおよびクロス証明書の取得が中断されると、予期しているよりも多くのデータが転送されるので、問題が生じます。

ネットワークの取得の設定を使用すると、管理者は次のことができます。

  • Microsoft ルート証明書プログラムで証明書を自動的に更新する。

  • CRL およびパス検証の取得タイムアウト値を構成する (ネットワークの状態が最適でない場合は、既定値を大きくすると有効です)。

  • パス検証中の発行者証明書の取得を有効にする。

  • クロス証明書のダウンロードの間隔を定義する。

[失効] タブ

失効の確認をサポートするために、Active Directory 証明書サービス (AD CS) では、オンライン レスポンダーによって配布されるオンライン証明書状態プロトコル (OCSP) 応答に加え、CRL および Delta CRL の使用がサポートされます。

特に、非常に大きい CRL またはネットワークの状態によりパフォーマンスが低下している状況などで、管理者はパス検証のグループ ポリシー設定を使用して CRL およびオンライン レスポンダーの使用を最適化できます。

次の設定を利用できます。

  • [常にオンライン証明書状態プロトコル (OCSP) 応答よりも証明書失効リスト (CRL) を優先する]。一般に、クライアントは、取得元が CRL とオンライン レスポンダーのどちらであるかに関係なく、可能な限り最新の失効データを使用する必要があります。このオプションを選択すると、有効な CRL および Delta CRL を使用できない場合にのみ、オンライン レスポンダーからの失効状態の確認が使用されます。

  • [CRL および OCSP 応答をその有効期間より長い時間有効にすることを許可する]。有効期間を超えて CRL および OCSP の応答を有効にすることは、通常、お勧めしません。ただし、クライアントが CRL 配布ポイントまたはオンライン レスポンダーに接続して有効期間を延長できない場合、このオプションが必要になることがあります。一方、CRL または OCSP の応答を使用できるように指定された有効期間を超える時間の長さを、このポリシー設定で構成することもできます。

その他の参照情報

目次