多くの組織では、ルート証明機関 (CA) のインストール後、公開キー基盤 (PKI) でポリシー制限を実装してエンド クライアントに証明書を発行するために、1 つ以上の下位 CA をインストールします。少なくとも 1 つの下位 CA を使用することで、ルート CA が必要以上に公開されるのを防ぐことができます。

Active Directory ドメイン内のアカウントを持つユーザーまたはコンピューターに下位 CA を使用して証明書を発行する場合、下位 CA をエンタープライズ CA としてインストールすることで、Active Directory ドメイン サービス (AD DS) 内のクライアントの既存のアカウント データを使用して、証明書を発行および管理し、証明書を AD DS に公開することができます。

この手順を実行するためには、ローカルの Administrators、またはそれと同等のメンバーシップが最低限必要です。これがエンタープライズ CA になる場合、この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要になります。詳細については、「役割ベースの管理を実装する」を参照してください。

下位 CA をインストールするには

  1. サーバー マネージャーを開き、[役割の追加] をクリックし、[次へ] をクリックして、[Active Directory 証明書サービス] をクリックします。[次へ] を 2 回クリックします。

  2. [役割サービスの選択] ページで、[証明機関]、[次へ] の順にクリックします。

  3. [セットアップの種類の指定] ページで、[スタンドアロン] または [エンタープライズ] をクリックし、[次へ] をクリックします。

    詳細については、「証明機関の種類」を参照してください。

    エンタープライズ CA をインストールするには、ドメイン コントローラーへのネットワーク接続が必要です。

  4. [CA の種類の指定] ページで、[下位 CA]、[次へ] の順にクリックします。

  5. [秘密キーの設定] ページで、[新しい秘密キーを作成する] をクリックし、[次へ] をクリックします。

  6. [暗号化の構成] ページで、暗号化サービス プロバイダー、キーの長さ、およびハッシュ アルゴリズムを選択します。[次へ] をクリックします。

    詳細については、「CA の暗号化オプション」を参照してください。

  7. [証明書の要求] ページで、ルート CA を参照して検索するか、ルート CA がネットワークに接続されていない場合は、後で処理できるように証明書の要求をファイルに保存します。[次へ] をクリックします。

    下位 CA にルート CA 証明書が発行され、この証明書を使用して下位 CA のインストールが完了するまで、下位 CA は使用できません。

  8. [CA 名を構成] ページで、CA を識別するための一意の名前を作成します。[次へ] をクリックします。

    詳細については、「証明機関の名前付け規則」を参照してください。

  9. [有効期間の設定] ページで、CA 証明書が有効な年数または月数を指定します。[次へ] をクリックします。

  10. [証明書データベースを構成] ページで、証明書データベースと証明書データベース ログに独自の場所を指定する場合を除いて、既定の場所を受け入れます。[次へ] をクリックします。

    詳細については、「証明書データベース」を参照してください。

  11. [インストール オプションの確認] ページで、選択したすべての構成設定を確認します。これらのオプションをすべて受け入れる場合は、[インストール] をクリックして、セットアップ処理が完了するまで待ちます。

その他の参照情報

目次