スマート カード登録ステーションを使用すると、指定された従業員またはエージェントが、1 台に集約されたワークステーションまたは指定された任意の数のワークステーションのいずれか 1 台からスマート カードを発行できます。登録ステーションとエージェントを指定することで、発行されるカードの物理的な準備が簡単になり、証明書サービスが中断される可能性が低くなります。また、特にさまざまなレベルのセキュリティとアクセスが存在する組織や環境で、ユーザーや管理者によって自身の身元の確認や自身の証明書の発行が行われることを防止できます。
スマート カード証明書登録ステーションを準備する
ユーザーのスマート カード ログオン証明書を要求する前に、次の作業が必要となります。
-
登録エージェント、およびスマート カード ログオン証明書またはスマート カード ユーザー証明書を構成し、証明機関 (CA) に対して有効にします。
-
必要に応じて、登録エージェントの制限を構成します。
-
登録エージェント証明書の他のユーザーの代理で、登録エージェントを登録します。
-
スマート カードの設定に使用するコンピューターで、製造元の指示に従ってスマート カード リーダーをインストールします。
次の手順は、他のユーザーの代理でスマート カード証明書を登録する方法、および登録エージェント証明書が使用可能になった後に登録ステーションを準備する方法を示しています。上記の手順は、Windows 7 または Windows Vista を実行する任意のコンピューター、またはスマート カード証明書登録ステーションとして使用する Windows Server 2008 R2 または Windows Server 2008 のメンバー サーバーで実行できます。
この手順を実行するには、Users グループのメンバーシップおよび登録エージェント証明書が最低限必要です。
他のユーザーの代理で証明書を登録するには |
ユーザーの証明書スナップインを開きます。
[論理証明書ストア] ビューであることを確認するために、[証明書 - 現在のユーザー] を右クリックし、[表示] をポイントして [オプション] をクリックします。[論理証明書ストア] が選択されていることを確認し、[OK] をクリックします。
コンソール ツリーで、[個人] ストアを展開し、[証明書] をクリックします。
[操作] メニューの [すべてのタスク] をポイントし、[詳細設定操作] をクリックします。次に、[代理登録] をクリックして証明書の登録ウィザードを開きます。[次へ] をクリックします。
処理する証明書の要求への署名に使用する登録エージェント証明書を参照します。[次へ] をクリックします。
登録する証明書の種類を選択します。証明書の要求準備が整ったら、[登録] をクリックします。
証明書の登録ウィザードが完了したら、[閉じる] をクリックします。
次の手順を実行するには、スナップインを追加するための適切な特権を持つドメイン ユーザーとしてログオンする必要があります。
スマート カード証明書登録ステーションを準備するには |
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。
[ファイル] メニューで、[スナップインの追加と削除] をクリックし、[追加] をクリックします。
[スナップイン] で、[証明書] をダブルクリックします。
[ユーザー アカウント]、[完了] の順にクリックします。
[閉じる]、[OK] の順にクリックします。
[証明書 - 現在のユーザー] をダブルクリックします。
コンソール ツリーで、[個人] をクリックします。
[操作] メニューの [すべてのタスク] をポイントし、[新しい証明書の要求] をクリックします。
証明書の登録ウィザードで、[登録エージェント] 証明書テンプレートをクリックし、要求された情報を入力します。
証明書の登録ウィザードからメッセージが表示されたら、[証明書のインストール] をクリックします。
その他の考慮事項
-
登録エージェント証明書をスマート カードにインストールすることができます。そのためには、証明書を要求する際に、スマート カード製造元の暗号化サービス プロバイダー (CSP) を使用する必要があります (証明書の登録ウィザードで、[詳細オプション] をクリックして登録エージェント証明書のスマート カード CSP を選択します)。
-
ユーザーが登録エージェント証明書を取得すると、そのユーザーは証明書を登録し、組織内の他のユーザーの代理でスマート カードを生成できるようになります。その結果として生成されたスマート カードは、ネットワークにログオンし、実際のユーザーを偽装するために使用される可能性もあります。このため、登録エージェント証明書の使用を制限するきわめて厳格なセキュリティ ポリシーを組織で保持することをお勧めします。
その他の参照情報
-
CA からの発行に使用する登録エージェント証明書テンプレートを構成するには、証明書テンプレートの管理に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkId=142230 ) を参照してください。
-
制限された登録エージェントを構成する場合は、「制限付き登録エージェントを設定する」を参照してください。