Active Directory 証明書サービス (AD CS) の役割サービスは、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、および Windows 2000 Server を含むオペレーティング システムを実行しているサーバーにセットアップできます。ただし、すべてのオペレーティング システムがすべての機能や設計要件をサポートしているわけではありません。AD CS を運用環境に展開する前に、慎重な計画とラボでのテストを実行し、最適な設計を行う必要があります。1 つの証明機関 (CA) の単一サーバーを使用して AD CS を展開することもできますが、複数のサーバーをルート CA、ポリシー CA、および発行元 CA として構成し、他のサーバーをオンライン レスポンダーとして構成して展開することもできます。
次の表に、さまざまなエディションの Windows Server 2008 R2 で構成できる AD CS コンポーネントの一覧を示します。
コンポーネント | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
---|---|---|---|---|
CA |
× |
○ |
○ |
○ |
ネットワーク デバイス登録サービス |
× |
× |
○ |
○ |
オンライン レスポンダー サービス |
× |
× |
○ |
○ |
CA Web 登録 |
× |
○ |
○ |
○ |
証明書の登録 Web サービス |
× |
○ |
○ |
○ |
証明書の登録ポリシー Web サービス |
× |
○ |
○ |
○ |
CA として構成されている Windows Server 2008 R2 を実行しているサーバーでは、次の機能を使用できます。
AD CS 機能 | Web Edition | Standard Edition | Enterprise Edition | Datacenter Edition |
---|---|---|---|---|
カスタマイズ可能なバージョン 2 およびバージョン 3 の証明書テンプレート |
× |
○ |
○ |
○ |
キーのアーカイブ |
× |
× |
○ |
○ |
役割の分離 |
× |
× |
○ |
○ |
証明書マネージャーの制限 |
× |
× |
○ |
○ |
委任された登録エージェントの制限 |
× |
× |
○ |
○ |
フォレスト境界を越えた証明書の登録 |
× |
× |
○ |
○ |
AD CS をカスタマイズする
AD CS には、開発者が追加のトランスポート、ポリシー、および証明書のプロパティと形式のサポートを作成できるようにする、プログラム可能なインターフェイスがあります。AD CS のカスタマイズ詳細については、証明書サービス アーキテクチャに関するページ (英語の可能性あり) (
AD CS を管理する
次の Microsoft 管理コンソール (MMC) スナップインを使用して、AD CS を管理できます。
-
証明機関 : CA、証明書失効、および証明書登録を管理するための主要なツールです。
-
証明書テンプレート : Active Directory ドメイン サービス (AD DS) に発行し、エンタープライズ CA で使用するために、証明書テンプレートを複製して構成します。
-
オンライン レスポンダー : オンライン証明書状態プロトコル (OCSP) レスポンダーを構成および管理します。
-
エンタープライズ PKI : 複数の CA、証明書失効リスト (CRL)、および機関情報アクセスの場所を監視し、AD DS に公開される AD CS オブジェクトを管理します。
-
証明書 : コンピューター、ユーザー、またはサービスの証明書ストアを表示および管理します。