証明書の登録 Web サービスは、新しい証明書の登録要求と証明書の書き換え要求を処理できます。どちらの場合も、クライアント コンピューターが要求を Web サービスに送信し、Web サービスがクライアント コンピューターに代わってその要求を証明機関 (CA) に送信します。したがって、Web サービス アカウントは、クライアント ID を CA に提示するために、委任時の信頼を付与されている必要があります。

証明書の登録 Web サービスでインターネットからの要求を受け入れると、セキュリティ上のリスクが増加するので、組織によっては Web サービス アカウントの委任を信頼しないことを選択する場合があります。インターネットからの要求の受け入れに伴うリスクを軽減するために、証明書の登録 Web サービスを書き換え専用モードとして構成できます。

書き換え専用モードでは、Web サービスは、証明書の書き換え要求だけを受け入れ、新しい証明書の登録要求を拒否します。書き換え専用モードをサポートするには、書き換え要求の署名とクライアント コンピューターの既存の証明書を使用してクライアント コンピューターを認証するように CA を構成する必要があります。この構成の場合、Web サービス アカウントに対して委任時の信頼を付与するという要件はありません。

書き換え専用モードには、次の 3 つの要件があります。

  • エンタープライズ CA が Windows Server 2008 R2 を実行している。

  • クライアント コンピューターが Windows 7 または Windows Server 2008 R2 を実行している。

  • 証明書の書き換えを要求するクライアント コンピューターが、有効期限が切れていない証明書を所有し、発行元 CA によって検証可能である。

この手順を完了するために最低限必要なグループ メンバーシップは、Enterprise Admins です。

証明書の登録 Web サービスを書き換え専用モードとして構成するには
  1. サーバー マネージャーを開きます。

  2. コンソール ツリーで、[役割] をクリックします。

  3. [役割の概要] ページに [Active Directory 証明書サービス] が表示されている場合は、[役割サービスの追加] をクリックし、次の手順に進みます。表示されていない場合は、次に進む前に次の手順を実行します。

    1. [役割の概要] ページで、[役割の追加] をクリックします。

    2. [開始する前に] ページで、[次へ] をクリックします。

    3. [サーバーの役割の選択] ページで、[Active Directory 証明書サービス] をクリックし、[次へ] をクリックします。

    4. [Active Directory 証明書サービスについて] ページに記載されている情報を確認して、[次へ] をクリックします。

  4. [役割サービスの選択] ページで、[証明書の登録 Web サービス] チェック ボックスをオンにします。

    証明機関の役割サービスは、AD CS 役割が追加されたときに自動的に選択されますが、証明書の登録 Web サービスと同時にはインストールできません。CA と証明書の登録 Web サービスの両方をインストールする場合は、最初に CA のインストールを完了します。「Active Directory 証明書サービスを設定する」を参照してください。

  5. 必要な役割サービスと機能のインストールを求めるダイアログ ボックスが表示されたら、[必要な役割サービスを追加] をクリックして、[次へ] をクリックします。

  6. CA を指定するには、[CA の名前] または [コンピューター名] をクリックし、[参照] をクリックします。CA を選択するかコンピューター名を入力し、[OK] をクリックします。

  7. [証明書の登録 Web サービスを書き換え専用モード用に構成します] チェック ボックスをオンにします。

  8. [認証の種類の選択] ページで、[ユーザー名とパスワード] または [クライアント証明書の認証] をクリックします。

  9. [証明書の登録 Web サービス用のアカウント資格情報を指定します] ページで、[サービス アカウントを指定する] または [組み込みのアプリケーション プール ID を使用する] をクリックします。サービス アカウントを指定するには、[選択] をクリックし、ドメイン アカウントのユーザー名とパスワードを入力し、[OK] をクリックします。[次へ] をクリックします。

  10. 既存のサーバー証明書を選択し、[インポート] をクリックして証明書ファイルをインポートするか、[SSL 用の証明書を後で選択して割り当てる] をクリックしてから [次へ] をクリックします。詳細については、「証明書の登録 Web サービスのサーバー証明書を構成する」を参照してください。

  11. [Web サーバー (IIS) について] ページで、[次へ] をクリックします。

  12. [役割サービスの選択] ページで、選択した役割サービスを確認し、[次へ] をクリックします。

  13. [インストール オプションの確認] ページの情報を読み、[インストール] をクリックします。

  14. [インストールの結果] ページでメッセージを確認します。ユーザーが要求を送信する前に証明書の登録 Web サービスを構成するには、追加のタスクが必要になる場合があります。

次のコマンドを使用して Active Directory 証明書サービスを構成して再起動します。この構成では、CA は、新しい証明書に対する要求も処理できます。

CA を書き換え専用モードをサポートするように構成するには
  1. CA のコマンド プロンプトで、「certutil -setreg policy\editflags +enablerenewonbehalfof」と入力し、Enter キーを押します。

  2. 証明機関スナップインを開きます。

  3. コンソール ツリーで CA を右クリックし、[プロパティ] をクリックします。

  4. [セキュリティ] タブをクリックします。

  5. Web サービス アカウントが [グループ名またはユーザー名] に表示されている場合は、[読み取り] アクセス許可が選択されていることを確認します。Web サービス アカウントが表示されていない場合は、次の手順を実行します。

    1. [追加] をクリックします。

    2. アカウント名を入力し、[名前の確認] をクリックします。名前が見つからない場合は [オブジェクトの種類] をクリックし、適切なアカウントの種類が選択されていることを確認します。正しいアカウント名が見つかったら、[OK] をクリックします。

    3. [読み取り] チェック ボックスをオンにし、[OK] をクリックします。

  6. sc stop certsvc」と入力し、Enter キーを押します。

  7. sc start certsvc」と入力し、Enter キーを押します。

その他の参照情報


目次