証明機関 (CA) は、あらかじめ定義された規則のセットを使用して証明書の要求を個々に処理します。CA は、識別情報の証明を使用せずに証明書を発行する場合もあれば、証明書を発行する前に識別情報の証明を提出するように要求する場合もあります。これにより、証明書ごとにさまざまな保証レベルが提供されます。このような保証レベルは、証明書では発行ポリシーとして表されます。
発行ポリシーは登録ポリシーまたは証明書ポリシーとも呼ばれ、証明書を発行する際に実装される管理規則のグループです。これらのポリシーは、証明書内ではオブジェクト識別子 (OID) によって表されます。OID は CA で定義されます。オブジェクト識別子は、発行される証明書に含まれています。サブジェクトが証明書を提示すると、提示先では発行ポリシーを確認して証明書が調査され、発行ポリシーのレベルが、要求された操作を実行するために十分かどうかが判断されます。
Windows Server 2008 R2、Windows Server 2008、および Windows Server 2003 には、あらかじめ定義された発行ポリシーが 4 つ組み込まれています。
-
すべての発行 (2.5.29.32.0)。すべての発行ポリシーは、その発行ポリシーに他のすべての発行ポリシーが含まれていることを示しています。通常、このオブジェクト識別子は CA の証明書にのみ割り当てられます。
-
低保証 (1.3.6.1.4.1.311.21.8.x.y.z.1.400)。低保証のオブジェクト識別子は、追加のセキュリティ要件なしで発行される証明書を表す場合に使用されます。
注 オブジェクト識別子のうち x.y.z の部分は、ランダムに生成される数値の並びで、Active Directory フォレストごとに一意になります。
-
中保証 (1.3.6.1.4.1.311.21.8.x.y.z.1.401)。中保証のオブジェクト識別子は、発行のための追加のセキュリティ要件がある証明書を表す場合に使用されます。たとえば、スマート カード発行者との直接の打ち合わせに基づいて発行されるスマート カード証明書は、中保証の証明書と見なされ、中保証のオブジェクト識別子が含まれることがあります。
-
高保証 (1.3.6.1.4.1.311.21.8.x.y.z.1.402)。高保証のオブジェクト識別子は、最高度のセキュリティで発行される証明書を表す場合に使用されます。たとえば、キー回復エージェントの証明書を発行する場合、追加の身元調査や指定の承認者からのデジタル署名が求められることがあります。これは、その証明書を保持している人物が、秘密キーの生成に使用される情報をエンタープライズ CA から回復できるためです。
カスタムの発行ポリシーを表す独自のオブジェクト識別子を作成することもできます。
サブジェクトから CA に証明書の要求が送信されると、その要求は自動的に承認されるか、または "保留中" の状態に設定されます。通常、保留中の状態は、より高い保証レベルを必要とする証明書に対して使用されます。このような証明書では、証明書の要求についてさらに多くの管理作業と確認作業が必要となります。テンプレートに基づいて証明書を発行する場合、認証や署名の要件が必要になります。これらの要件を構成するための設定項目について次に説明します。
設定 | 説明 |
---|---|
CA 証明書マネージャーの許可 |
すべての証明書は保留中コンテナーに置かれ、証明書マネージャーが証明書を発行または拒否します。 |
次の数の認証署名 |
この設定では、証明書を発行する前に、1 つまたは複数のサブジェクトによって証明書の要求がデジタル署名される必要があります。この設定では、他の複数の構成パラメーターが有効になります。 |
署名に必要なポリシーの種類 |
証明書の発行に必要となる署名には、特定のアプリケーション ポリシーか発行ポリシーのいずれか、またはその両方を含める必要があります。この設定に基づいて、CA は、署名がサブジェクトの証明書発行を許可するのに適しているかどうかを判断します。このオプションは [次の数の認証署名] を設定しているときに有効になります。 |
アプリケーション ポリシー |
証明書要求の署名時に確認するアプリケーション ポリシーを指定します。このオプションは、[署名に必要なポリシーの種類] を [アプリケーション ポリシー] または [アプリケーションと発行ポリシー両方] に設定しているときに有効になります。 |
発行ポリシー |
証明書要求の署名時に確認する発行ポリシーを指定します。このオプションは、[署名に必要なポリシーの種類] を [発行ポリシー] または [アプリケーションと発行ポリシー両方] に設定しているときに有効になります。 |
アプリケーション ポリシーの変更または新規作成の機能は、バージョン 2 およびバージョン 3 の証明書テンプレートでのみ使用できます。詳細については、「既定の証明書テンプレート」を参照してください。
クライアントが以前のテンプレートに基づく有効な証明書を既に保持している場合は、クライアントを再登録して、変更されたテンプレートに基づく証明書を取得する必要があります。クライアントの再登録の詳細については、「すべての証明書保持者を再登録する」を参照してください。
この手順を実行するには、Domain Admins または Enterprise Admins のメンバーシップ、あるいはそれらと同等のメンバーシップが最低限必要となります。詳細については、「役割ベースの管理を実装する」を参照してください。
発行ポリシーを変更するには |
証明書テンプレート スナップインを開きます。
詳細ウィンドウで、変更する証明書テンプレートを右クリックし、[プロパティ] をクリックします。
[発行の要件] タブをクリックします。
要求された情報を入力します。