役割ベースの管理を使用すると、証明機関 (CA) 管理者を、定義済みの個別の CA 役割にまとめることができます。また、これらの各役割のグループには、独自のタスクのセットが割り当てられます。役割は各ユーザーのセキュリティ設定を使用して割り当てられます。役割に関連付けられた固有のセキュリティ設定をユーザーに割り当てることで、役割がユーザーに割り当てられます。ある種類のアクセス許可 ("CA の管理" など) を持つユーザーは、他の種類のアクセス許可 ("証明書の発行と管理" など) を持つユーザーが実行できない特定の CA タスクを実行できます。

次の表は、役割ベースの管理を実装する場合に使用できる役割、ユーザー、およびグループについて説明しています。ユーザーやグループに役割を割り当てるには、役割に対応したセキュリティのアクセス許可、グループ メンバーシップ、またはユーザー権利を、ユーザーやグループに割り当てる必要があります。これらのセキュリティのアクセス許可、グループ メンバーシップ、およびユーザー権利は、各ユーザーがどの役割を持っているかを識別するために使用されます。

役割とグループ セキュリティのアクセス許可 説明

CA 管理者

CA の管理

CA の構成と管理を行います。これは CA の役割の一つで、他のすべての CA 役割の割り当て、および CA 証明書の書き換えを行うことができます。これらのアクセス許可は証明機関スナップインを使用して割り当てられます。

証明書管理者

証明書の発行と管理

証明書の登録と取り消しの要求を承認します。これは CA の役割の一つです。この役割は、CA オフィサーと呼ばれることもあります。これらのアクセス許可は証明機関スナップインを使用して割り当てられます。

バックアップ オペレーター

ファイルとディレクトリのバックアップ

ファイルとディレクトリの復元

システムのバックアップと復旧を行います。バックアップはオペレーティング システムの機能です。

監査人

監査とセキュリティ ログの管理

監査ログの構成、表示、保守を行います。監査はオペレーティング システムの機能です。監査人はオペレーティング システムの役割です。

入会者

読み取り

登録

登録者は CA に対する証明書の要求が承認されているクライアントです。これは CA の役割ではありません。

すべての CA の役割は、ローカルの AdministratorsEnterprise Admins、または Domain Admins のメンバーによって、割り当ておよび修正が行われます。エンタープライズ CA では、ローカル管理者、エンタープライズ管理者、およびドメイン管理者が、既定の CA 管理者となります。スタンドアロン CA では、ローカル管理者のみが既定の CA 管理者になります。スタンドアロン CA が、Active Directory ドメインに参加しているサーバー上にインストールされている場合は、ドメイン管理者も CA 管理者となります。

CA 管理者と証明書管理者の役割は、ローカル コンピューターのセキュリティ アカウント マネージャー (SAM) に登録されている Active Directory ユーザーまたはローカル ユーザーに割り当てることができます。この SAM とは、ローカル セキュリティ アカウント データベースのことです。役割は、個別のユーザー アカウントではなく、グループ アカウントに割り当てることをお勧めします。

CA 管理者、証明書管理者、監査人、バックアップ オペレーターのみが CA の役割となります。表内の他のユーザーは役割ベースの管理に関連しており、CA の役割を割り当てる前に、そのことを認識しておく必要があります。

CA 管理者と証明書管理者のみが証明機関スナップインを使用して割り当てられます。ユーザーまたはグループのアクセス許可を変更するには、ユーザーのセキュリティ アクセス許可、グループ メンバーシップ、またはユーザー権利を変更する必要があります。

CA に対する CA 管理者と証明書管理者のセキュリティ アクセス許可を設定するには
  1. 証明機関スナップインを開きます。

  2. コンソール ツリーで、CA の名前をクリックします。

  3. [操作] メニューの [プロパティ] をクリックします。

  4. [セキュリティ] タブをクリックし、セキュリティのアクセス許可を指定します。

役割と作業内容

各 CA の役割には、CA の管理タスクに関する固有の一覧が対応付けられています。次の表では、すべての CA 管理タスクと、そこで実行される役割の一覧を示しています。

作業内容 CA 管理者 証明書管理者 監査人 バックアップ オペレーター ローカル管理者

CA のインストール

 

 

 

 

X

 

ポリシーの構成とモジュールの終了

X

 

 

 

 

 

Active Directory 証明書サービス (AD CS) の起動と停止

X

 

 

 

 

 

拡張機能の構成

X

 

 

 

 

 

役割の構成

X

 

 

 

 

 

CA キーの更新

 

 

 

 

X

 

キー回復エージェントの定義

X

 

 

 

 

 

証明書マネージャーの制限の構成

X

 

 

 

 

 

CA データベース内の単一行の削除

X

 

 

 

 

 

CA データベース内の複数行の削除 (一括削除)

X

X

 

 

 

ユーザーは CA 管理者および証明書管理者の両方であることが必要です。この作業は役割の分離が有効になっている場合には実行できません。

役割の分離の有効化

 

 

 

 

X

 

証明書の発行と承認

 

X

 

 

 

 

証明書の拒否

 

X

 

 

 

 

証明書の失効

 

X

 

 

 

 

保留中の証明書の再アクティブ化

 

X

 

 

 

 

証明書の書き換え

 

X

 

 

 

 

証明書失効リスト (CRL) のスケジュールの有効化、公開、構成

X

 

 

 

 

 

アーカイブされたキーの復元

 

X

 

 

 

証明書管理者のみが、暗号化されたキー データ構造を CA データベースから取得できます。有効なキー回復エージェントの秘密キーは、キー データ構造の暗号化を解除し、PKCS #12 ファイルを生成する必要があります。

監査パラメーターの構成

 

 

X

 

 

既定では、ローカル管理者はシステム監査のユーザー権利を保持しています。

ログの監査

 

 

X

 

 

既定では、ローカル管理者はシステム監査のユーザー権利を保持しています。

システムのバックアップ

 

 

 

X

 

既定では、ローカル管理者はシステム バックアップのユーザー権利を保持しています。

システムの復元

 

 

 

X

 

既定では、ローカル管理者はシステム バックアップのユーザー権利を保持しています。

CA データベースの読み取り

X

X

X

X

 

既定では、ローカル管理者はシステム監査システム バックアップのユーザー権利を保持しています。

CA の構成情報の読み取り

X

X

X

X

 

既定では、ローカル管理者はシステム監査システム バックアップのユーザー権利を保持しています。

その他の考慮事項

  • 登録者は CA プロパティと CRL の読み取りが許可され、証明書を要求できます。エンタープライズ CA では、ユーザーが証明書を要求するには、証明書テンプレートの読み取りと登録のアクセス許可が必要です。CA 管理者、証明書管理者、監査人、およびバックアップ オペレーターは、暗黙的な読み取りのアクセス許可を持っています。

  • 監査人は、システム監査のユーザー権利を保持しています。

  • バックアップ オペレーターはシステム バックアップのユーザー権利を保持しています。さらに、バックアップ オペレーターは Active Directory 証明書サービス (AD CS) の起動と停止を行うことができます。

役割の割り当て

特定の CA の CA 管理者は、役割で必要となるセキュリティ設定をユーザーのアカウントに適用することで、ロールベースの管理について分離した役割に、ユーザーを割り当てます。CA 管理者はユーザーを複数の役割に割り当てることができますが、ユーザーごとに 1 つの役割を割り当てた方が安全です。この委任方式が使用されると、ユーザーのアカウントがセキュリティの侵害を受けた場合、影響を受ける CA タスクが減少します。

管理者の考慮事項

スタンドアロン CA の既定のインストール設定では、ローカルの Administrators グループのメンバーが CA 管理者となります。エンタープライズ CA の既定のインストール設定では、ローカルの AdministratorsEnterprise AdminsDomain Admins の各グループのメンバーが CA 管理者となります。これらのアカウントの機能を制限するには、すべての CA の役割が割り当てられるときに CA 管理者および証明書管理者の役割からそれらのアカウントを削除する必要があります。

ローカルの Administrators グループのメンバーは、CA 管理者または証明書管理者の役割が割り当てられたグループ アカウントには含めないようにすることをお勧めします。また、CA の役割は個別のユーザー アカウントではなく、グループ アカウントに割り当てるようにしてください。

CA に関するローカルの Administrators グループのメンバーシップは、CA 証明書の書き換えが必要です。このグループのメンバーは、他のすべての CA の役割に優先する管理権限を想定しています。


目次