正常性登録機関 (HRA) では、クライアント コンピューターに代わって正常性証明書を要求する際の要求先となる、1 つ以上の証明機関 (CA) を構成する必要があります。証明書は、新しいクライアントがネットワークに接続する際や、準拠しているクライアント コンピューター上で正常性証明書の有効期限が切れようとしている場合に要求されます。証明書は、クライアント コンピューターがネットワークに接続している間も、正常性状態が変化した場合には削除または再発行されます。サーバーが利用できない場合や、応答不能と判断されている場合を除き、HRA は最初に構成されている CA からのみ正常性証明書を要求します。

CA を構成する

HRA で CA を構成するにはこの手順を使用します。CA は追加や削除が可能であり、その順序を変更できます。CA を利用できないと見なす前に待機する時間を分単位で指定することもできます。エンタープライズ CA を使用している場合は、使用する認証済みおよび匿名の証明書のテンプレートを選択できます。ネットワーク アクセス制御を使用したスタンドアロン CA を使用している場合は、ポリシーの OID を有効にすることで、クライアント拡張された状態情報を有効にすることができます。

この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 (英語の可能性あり) を参照してください。

新しい CA を追加する

最適なパフォーマンスを得るため、専用のスタンドアロン下位 CA を使用して正常性証明書を発行する必要があります。HRA スナップイン内で複数の CA を構成すると、フォールト トレランスが得られます。負荷分散は、異なる CA 処理順序を持つ追加の HRA を構成することで実現できます。次の手順に従って、HRA で使用する CA を構成できます。

Windows インターフェイスを使用して新しい証明機関を追加するには

  1. HRA コンソールを開きます。

  2. コンソール ツリーで、[証明機関] を右クリックし、[証明機関の追加] をクリックします。[証明機関の追加] ダイアログ ボックスが開きます。

  3. [参照] をクリックします。[証明機関の選択] ダイアログ ボックスが開きます。

  4. [CA] の下で、NAP 正常性証明書を発行するために使用する CA の名前をクリックし、[OK] を 2 回クリックします。

  5. HRA コンソール ツリーで、[証明機関] をクリックし、構成されている CA の名前と順序を確認します。

    ワークグループ環境からは CA を参照できません。

CA の待ち時間を構成する

CA が利用できないとマークされている場合を除き、HRA は、処理順序で最初に構成されている CA からのみ正常性証明書の取得を試みます。CA を利用できないと見なす前に待機する時間 (分単位) を変更するには、以下の手順を実行します。

Windows インターフェイスを使用して証明機関の待ち時間を構成するには

  1. HRA コンソールを開きます。

  2. コンソール ツリーで、[証明機関] を右クリックし、[プロパティ] をクリックします。[証明機関のプロパティ] ダイアログ ボックスが開きます。

  3. CA を利用できないと見なす前に待機する時間を分単位で指定し、[OK] をクリックします。

正常性証明書の有効期間を構成する

正常性証明書の既定の有効期間は 4 時間です。クライアントは、有効期限が切れる 15 分より前、またはクライアントの正常性状態が変化したときに、正常性証明書の更新を試みることになります。次の手順に従って、正常性証明書のカスタム有効期間を構成できます。

Windows インターフェイスを使用して HRA によって承認された正常性証明書の有効期間を構成するには

  1. HRA コンソールを開きます。

  2. コンソール ツリーで、[証明機関] を右クリックし、[プロパティ] をクリックします。[証明機関のプロパティ] ダイアログ ボックスが開きます。

  3. ドロップダウン リストを使用して時間の単位を選択します。[]、[時間]、[]、[] のいずれかを選択できます。

  4. 時間の単位を選択したら、指定する時間数を入力して [OK] をクリックします。

  5. エンタープライズ CA を使用している場合は、証明書テンプレートで構成されている有効期間を上書きするために、次の手順を実行する必要があります。

    1. [スタート] ボタンをクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。

    2. コマンド ウィンドウで、「type Certutil.exe -setreg policy\EditFlags +EDITF_ATTRIBUTEENDDATE」と入力し、Enter キーを押します。

    3. コマンド ウィンドウで「net stop certsvc && net start certsvc」と入力し、Enter キーを押します。

    4. Active Directory® 証明書サービス (AD CS) が正常に停止および開始することを確認します。
重要

正常性証明書の最大有効期間は、CA の有効期間で決まり、既定では 52 週間に設定されています。1 時間未満の有効期間を構成した場合には、CA サーバーでパフォーマンス上の問題が発生する可能性があるため注意してください。15 分以内の有効期間は使用しないでください。

CA の種類を選択する

NAP 証明機関の種類を構成するには、次の手順を実行します。前の手順で構成した CA に一致する CA の種類を選択することが重要です。エンタープライズ CA を使用している場合は、この手順を実行する前にテンプレートを構成する必要があります。

Windows インターフェイスを使用して証明機関の種類を選択するには

  1. HRA コンソールを開きます。

  2. コンソール ツリーで、[証明機関] を右クリックし、[プロパティ] をクリックします。[証明機関のプロパティ] ダイアログ ボックスが開きます。

  3. スタンドアロン CA を使用している場合は、[スタンドアロン証明機関を使用する] を選択します。

  4. ネットワーク アクセス制御用にクライアント拡張された状態情報を使用しない限り、[ポリシー OID を有効にする] の横のチェック ボックスはオンにしないでください。

  5. Active Directory が統合されたエンタープライズ CA を使用している場合や、エンタープライズ CA とスタンドアロン CA の両方を使用している場合は、[エンタープライズ証明機関を使用する] を選択し、ドロップダウン リストを使用して、利用可能なテンプレートの一覧から [認証済み準拠証明書テンプレート] と [匿名準拠証明書テンプレート] を選択します。HRA のインストール時に正常性証明書の匿名要求の許可を選択しなかった場合は、この手順で匿名テンプレートを構成しても匿名証明書要求は有効になりません。

CA の順序を構成する、または CA を削除する

HRA によって使用される CA の優先順位を変更したり、HRA 構成から CA を削除したりするには、次の手順を実行します。CA が利用できないとマークされている場合を除き、HRA は、一覧内で最初に構成されている CA からのみ証明書を要求します。

Windows インターフェイスを使用して証明機関の順序を構成、または証明機関を削除するには

  1. HRA コンソールを開きます。

  2. コンソール ツリーで、[証明機関] をクリックします。

  3. サーバーの一覧の中から CA 名を右クリックします。順序内のこのサーバーの優先順位を上げるには、[上へ移動] をクリックします。また、順序内のこのサーバーの優先順位を下げるには、[下へ移動] をクリックします。

  4. 一覧から CA を削除するには、CA 名を右クリックして、[削除] をクリックします。

その他の参照情報

目次