Active Directory 証明書サービス (AD CS) は各種の登録および更新の方法をサポートしています。たとえば、クライアントのやり取りが発生しない自動登録、または証明書の要求ウィザードや AD CS Web ページなどの対話型の登録方法をサポートしています。
 | 注 |
|
Microsoft 以外の証明機関 (CA) やカスタムの証明書登録および更新アプリケーションを展開する場合は、それらの CA やアプリケーションに必要な構成をすべて実行する必要があります。 |
クライアントが証明書を取得する方法は、主に証明書テンプレートのセキュリティ プロパティによって制御されます。
証明書テンプレートがサーバーに公開されると、各テンプレートには、サブジェクトが証明書を使用して実行することのできる特定の操作を定義する、アクセス制御リスト (ACL) が格納されます。
| 設定 | 説明 | ||||
|---|---|---|---|---|---|
|
フル コントロール |
選択されたグループまたはユーザーは、このテンプレートに対して任意の操作を実行できます。 | ||||
|
読み取り |
選択されたグループまたはユーザーは、このテンプレートを読み取ることができます。 | ||||
|
書き込み |
選択されたグループまたはユーザーは、このテンプレートに変更を加えることができます。 | ||||
|
登録 |
選択されたグループまたはユーザーは、このテンプレートに基づく証明書の発行要求または更新要求を送信できます。
| ||||
|
自動登録 |
選択されたグループまたはユーザーは、このテンプレートに基づく証明書の要求を、自動登録を通じて送信できます。
|
証明書が最も一般的に使用されるのは、自動登録を許可した状態でサブジェクトを登録する場合です。この場合、サブジェクトには読み取り、登録、および自動登録のアクセス許可を与える必要があります。
自動登録は行わなくても、手動または Web ベースの登録を使用できるようにする場合は、読み取りと登録のアクセス許可を与えるのが適切です。
サブジェクトが既に証明書を保持している場合、それらのサブジェクトは自動登録を使用しているかどうかに関係なく、読み取りと登録のアクセス許可だけでその証明書を更新できます。
書き込みとフル コントロールのアクセス許可は CA マネージャーだけに制限してください。そうすることで、テンプレートが不適切に構成されることがなくなります。