ドメイン グループ ポリシーを使用すると、Active Directory ドメイン サービス (AD DS) 環境で次の種類の証明書関連の動作を管理できます。
-
資格情報の移動
-
証明書の自動登録
-
証明書パス検証
-
証明書の配布
資格情報の移動
資格情報を移動することで、AD DS 内のユーザーに固有の X.509 証明書、証明書要求、および秘密キーを、ユーザー プロファイルとは別に保存して、ネットワーク上のコンピューターで使用できます。
デジタル証明書と秘密キーには、安全な方法で保存する必要がある比較的少量のデータが含まれています。資格情報の移動ポリシーでは、デジタル証明書と秘密キーのセキュリティで保護された記憶域およびサイズ要件に対応した方法により、複数のコンピューターにおいてこれらの資格情報の使用を管理します。Windows Server 2008 R2 と Windows Server 2008 では、資格情報の移動ポリシーには、証明書とキーに加え、保存されたユーザー名とパスワードが含まれます。
詳細については、「資格情報の移動を有効にする」を参照してください。
Windows Server 2008、Windows Server 2003、Windows Vista、および Windows XP で実装した場合の資格情報の移動と重要な違いの詳細については、証明書サービス クライアント (資格情報の移動) の構成とトラブルシューティングに関するページ (英語の可能性あり) (
証明書の自動登録
多くの組織では、グループ ポリシーを使用して、自動的にユーザー、コンピューター、またはサービスを証明書に登録します。
詳細については、「証明書の自動登録を構成する」を参照してください。
証明書パス検証
セキュリティで保護された通信およびデータの保護のために証明書の使用が増える中で、管理者は証明書信頼ポリシーと証明書パスの検証オプションを使用して、証明書の使用の管理と公開キー基盤のパフォーマンスを向上させることができます。
グループ ポリシーの証明書パス検証の設定により、管理者は、ストア、信頼された発行元、ネットワークの取得、および失効確認を管理できます。
詳細については、「証明書パスの検証を管理する」を参照してください。
証明書の配布
グループ ポリシーの証明書の配布機能は、組織の証明書関連の信頼を管理するのに役立つ方法です。この機能により、特定の証明書を信頼し、ユーザーの操作をほとんどまたはまったく必要とせずに、その証明書チェーンを作成できます。外部の証明機関 (CA) が発行した証明書のため、直接取り消すことができない証明書の使用をブロックすることもできます。
詳細については、「ポリシーを使用して証明書を配布する」を参照してください。