証明書に関連する秘密キーの保持者はサブジェクトとして識別されます。サブジェクトには、ユーザーやプログラムだけでなく、事実上あらゆるオブジェクト、コンピューター、またはサービスを設定できます。
サブジェクト名は、どのユーザーまたはどのようなものがサブジェクトになるかによって大きく異なるため、証明書の要求の中でサブジェクト名を指定するときには、ある程度の柔軟性を持たせる必要があります。Windows により、Active Directory ドメイン サービス (AD DS) に保存されているサブジェクト情報から自動的にサブジェクト名を構築することも、サブジェクトによって手動でサブジェクト名を指定する (たとえば、証明書の登録 Web ページを使用して証明書要求を作成して送信する) こともできます。
エンタープライズ証明機関 (CA) には、証明書テンプレートを構成できる証明書テンプレート スナップインが含まれています。サブジェクト名のオプションを構成するには、証明書テンプレートのプロパティ シートの [サブジェクト名] タブを使用します。
要求に含まれる
[要求に含まれる] オプションを選択すると、[自動登録書き換え要求に既存の証明書のサブジェクト情報を使用する] オプションが利用可能になり、証明書の書き換え要求にサブジェクト名を追加する作業を簡素化し、コンピューター証明書を自動的に書き換えることができます。既存の証明書のサブジェクト情報は、ユーザー証明書の自動書き換えには使用されません。
[自動登録書き換え要求に既存の証明書のサブジェクト情報を使用する] オプションを選択すると、自動または証明書スナップインを使用して書き換え要求が作成されるときに、証明書登録クライアントによって、同じ証明書テンプレートに基づく既存のコンピューター証明書からサブジェクト名とサブジェクトの別名情報が読み取られます。この情報は、有効期限が切れた、失効した、または更新期間中のコンピューター証明書に適用されます。
AD DS から構築する
[Active Directory の情報から構築する] オプションを選択すると、次の追加のオプションを構成できます。
サブジェクト名の形式
設定 | 説明 |
---|---|
共通名 | CA は、AD DS から取得した共通名 (CN) からサブジェクト名を作成します。この名前はドメイン内で一意である必要がありますが、企業内で一意である必要はありません。 |
完全な識別名 (DN) | CA は、AD DS から取得した完全な識別名からサブジェクト名を作成します。これにより、サブジェクト名は企業内で一意になります。 |
サブジェクト名に電子メール名を含める | 電子メール名フィールドが Active Directory ユーザー オブジェクトに設定されている場合、この電子メール名が、共通名または完全な識別名と併せてサブジェクト名に含まれます。 |
なし | この証明書には名前の値は必要ありません。 |
代わりのサブジェクト名に次の情報を含める
設定 | 説明 |
---|---|
電子メール名 | 電子メール名フィールドが Active Directory ユーザー オブジェクトに設定されている場合は、この電子メール名が使用されます。 |
DNS 名 | 証明書を要求したサブジェクトの完全修飾ドメイン名 (FQDN) です。これは、コンピューター証明書でよく使われます。 |
ユーザー プリンシパル名 (UPN) | ユーザーのプリンシパル名は Active Directory ユーザー オブジェクトの一部であり、この名前が使用されます。 |
サービス プリンシパル名 (SPN) | サービスのプリンシパル名は Active Directory コンピューター オブジェクトの一部であり、この名前が使用されます。 |