スタンドアロン証明機関 (CA) では、さまざまな目的のために証明書を発行できます。これには、デジタル署名や、S/MIME (Secure Multipurpose Internet Mail Extensions) による電子メールのセキュリティ保護、Secure Sockets Layer (SSL) または Transport Layer Security (TLS) によるセキュリティで保護された Web サーバーに対する認証などが含まれます。
スタンドアロン CA には、次のような特徴があります。
-
エンタープライズ CA と異なり、スタンドアロン CA は Active Directory ドメイン サービス (AD DS) を使用する必要はありません。AD DS を使用している場合でも、スタンドアロン CA を CA 階層内のオフラインの信頼されるルート CA として使用したり、エクストラネットまたはインターネットを介してクライアントに証明書を発行するために使用したりすることができます。
-
ユーザーは、証明書の要求をスタンドアロン CA に送信するときに、ユーザーの識別情報を提供し、必要な証明書の種類を指定する必要があります (エンタープライズ ユーザーの情報は AD DS に既に登録されていて、証明書の種類は証明書テンプレートに記述されているため、エンタープライズ CA に要求を送信するときにこの操作を行う必要はありません)。要求の認証情報は、ローカル コンピューターのセキュリティ アカウント マネージャー データベースから取得されます。
-
既定では、スタンドアロン CA に送信される証明書の要求は、スタンドアロン CA の管理者が送信情報を確認してその要求を承認するまで、すべてが保留状態に設定されます。スタンドアロン CA では証明書の要求者の資格情報は確認されないため、管理者がこれらの確認タスクを実行する必要があります。
-
証明書テンプレートは使用されません。
-
管理者がスタンドアロン CA の証明書をドメイン ユーザーの信頼されたルート ストアに明示的に配布するか、ユーザー自身がそのタスクを実行する必要があります。
-
暗号化サービス プロバイダーが Elliptic Curve 暗号化 (ECC) の使用をサポートしている場合、スタンドアロン CA は ECC キーに従ってすべてのキーを使用します。詳細については、Cryptography Next Generation に関するページ (英語の可能性あり) (
https://go.microsoft.com/fwlink/?LinkID=85480 ) を参照してください。
スタンドアロン CA で AD DS を使用すると、CA で次の追加機能を使用できるようになります。
-
Domain Admins グループのメンバーまたはドメイン コントローラーへの書き込みアクセス権を持つ管理者がスタンドアロン ルート CA をインストールすると、ドメイン内のすべてのユーザーとコンピューターの信頼されたルート証明機関証明書ストアに、その CA が自動的に追加されます。このため、Active Directory ドメインにスタンドアロン ルート CA をインストールする場合は、証明書の要求を受信する CA の (要求を保留状態としてマークする) 既定の操作を変更しないでください。変更すると、信頼されたルート CA は、証明書の要求者の ID を確認しないで証明書を自動的に発行します。
-
エンタープライズ内の親ドメインの Domain Admins グループのメンバーまたは AD DS への書き込みアクセス権を持つ管理者がスタンドアロン CA をインストールすると、スタンドアロン CA は、その CA 証明書と証明書失効リスト (CRL) を AD DS に発行します。