ネットワーク アクセス保護 (NAP) 証明機関 (CA) が、正常性登録機関 (HRA) と NAP インターネット プロトコル セキュリティ (IPsec) 強制方法を使用するように正しく構成されていることを確認するには、サーバー上で以下の手順を実行します。NAP CA は、Active Directory® 証明書サービス (AD CS) がインストールされ動作しており、NAP 正常性証明書を発行できるサーバーです。AD CS の詳細については、https://go.microsoft.com/fwlink/?LinkId=127816 (英語の可能性あり) を参照してください。

この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、https://go.microsoft.com/fwlink/?LinkId=83477 (英語の可能性あり) を参照してください。

NAP CA を選択する

NAP 正常性証明書を取得して準拠している NAP クライアント コンピューターに発行するには、HRA を 1 つ以上の CA に関連付ける必要があります。HRA のインストール時に、CA をローカルにインストールするか、既存のリモート CA を選択することで、CA を選択することができます。また、HRA スナップインまたはコマンド ラインを使用して、後から NAP CA を追加することもできます。複数の CA を HRA に関連付けるには、HRA スナップインまたはコマンド ラインを使用する必要があります。HRA をエンタープライズ CA またはスタンドアロン CA のいずれかを使用するように構成することができます。NAP CA の構成要件は、選択する CA の種類によって異なります。CA のセキュリティ設定および証明書の発行要件を構成して、スタンドアロン CA またはエンタープライズ CA のどちらかを選択する必要があります。推奨される構成では、HRA は専用のスタンドアロン下位 CA に関連付けられています。NAP CA を使用するように HRA を構成する方法の詳細については、「NAP 証明機関を構成するを参照してください。

スタンドアロン CA を選択する

スタンドアロン CA は、証明書テンプレートを使用しません。そのため、スタンドアロン NAP CA を使用する場合には、正常性証明書テンプレートを構成する必要はありません。スタンドアロン CA を選択する場合でも、CA セキュリティ設定と証明書発行要件を構成して、HRA が正常性証明書を要求し、準拠しているクライアント コンピューターに自動的に発行するようにする必要があります。

エンタープライズ CA を選択する

エンタープライズ CA は、証明書テンプレートに基づいて証明書を発行します。ポリシー モジュールを使用して、NAP 用のシステム正常性認証など、発行された証明書に対して証明書拡張機能の一覧を提供します。エンタープライズ CA で Windows Server® 2008 が動作している場合は、システム正常性の認証証明書テンプレートが、ドメインと正常性の認証に適したアプリケーション ポリシー拡張と共に既定で使用できます。エンタープライズ CA で Windows Server® 2003 が動作している場合は、これらのアプリケーション ポリシー拡張が含まれるテンプレートを作成し発行する必要があります。エンタープライズ CA が、正しいアプリケーション ポリシー拡張を持った正常性証明書を自動的に発行するように構成されていることを確認するには、以下の手順を実行します。

テンプレートが使用できることを確認する

エンタープライズ CA サーバーで Windows Server 2008 が動作している場合は、ドメインで認証された NAP クライアントの証明書テンプレートは、"システム正常性認証" の表示名で自動的に使用できます。エンタープライズ CA で Windows Server 2003 が動作している場合は、このテンプレートを作成する必要があります。次の手順を実行して、正しいアプリケーション ポリシー拡張を持った NAP 正常性証明書テンプレートが使用できることを確認するか、このテンプレートがない場合は作成します。この手順は、スタンドアロン CA を使用している場合には適用されません。

テンプレートが使用できることを確認するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「certtmpl.msc」と入力して、Enter キーを押します。

  2. 詳細ウィンドウの [テンプレートの表示名] で、テンプレートの一覧を参照します。NAP 正常性証明書テンプレートの名前をダブルクリックします。NAP 正常性証明書テンプレートが表示されない場合は、次の手順を実行します。

    1. [ワークステーション認証] を右クリックし、[テンプレートの複製] をクリックします。

    2. [テンプレート表示名] に、「システム正常性の認証」と入力し、[拡張] タブをクリックします。

    3. [このテンプレートに含まれる拡張] で、[アプリケーション ポリシー] をクリックし、[編集] をクリックします。

    4. [追加]、[新規] の順にクリックします。

    5. [新しいアプリケーションのポリシー] の [名前] に、「システム正常性の認証」と入力します。

    6. [オブジェクトの識別子] に、「1.3.6.1.4.1.311.47.1.1」と入力し、[OK] を 4 回クリックします。

    7. 新しいテンプレートが正常に作成されたことを確認します。

    8. 新しいテンプレートを確認するには、その名前をダブルクリックし、この手順の残りのステップを実行します。

  3. [拡張] タブをクリックします。

  4. [このテンプレートに含まれる拡張] で、[アプリケーション ポリシー] をクリックします。

  5. [アプリケーション ポリシーの説明] に [システム正常性の認証] と [クライアント認証] が表示されていることを確認し、[編集] をクリックします。

  6. [システム正常性の認証]、[編集] の順にクリックします。

  7. [アプリケーション ポリシーの編集] の [オブジェクト識別子] で、値が "1.3.6.1.4.1.311.47.1.1" であることを確認します。アプリケーション ポリシー オブジェクト識別子の値が違う場合は、この手順の前のステップを使用して、新しいシステム正常性の認証テンプレートを作成します。また、[システム正常性の認証] に関連付けられたオブジェクト識別子が "1.3.6.1.4.1.311.47.1.1" となるように、アプリケーション ポリシー名を訂正する必要があります。

  8. [キャンセル] を 3 回クリックし、証明書テンプレート コンソールを閉じます。

この証明書テンプレートが匿名正常性証明書を発行するために使用される場合は、[クライアント認証] アプリケーション ポリシーは含めないようにします。クライアント認証アプリケーション ポリシーが含まれている証明書は、ドメインの資格情報を使用して認証されたクライアントに発行されます。

証明書が使用できることを確認する

エンタープライズ CA では、証明書をクライアント コンピューターに発行する前に使用可能になっている必要があります。NAP 正常性証明書が発行可能であることを確認するには、次の手順を実行します。この手順は、スタンドアロン CA を使用している場合には適用されません。

証明書が使用できることを確認するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「certsvr.msc」と入力して、Enter キーを押します。

  2. コンソール ツリーで、[証明書テンプレート] をクリックします。

  3. 詳細ウィンドウの [名前] に NAP 正常性証明書が表示されていることを確認します。エンタープライズ CA サーバーで Windows Server 2008 が動作している場合は、ドメインで認証された NAP クライアントの既定の正常性証明書テンプレートの表示名は、"システム正常性の認証" となります。

  4. 正常性証明書テンプレートが作成されているにもかかわらず、一覧に表示されていない場合は、次の手順を実行してテンプレートを発行します。

    1. [証明書テンプレート] を右クリックし、[新規作成] をポイントして、[発行する証明書テンプレート] をクリックします。

    2. [証明書テンプレートの選択] の [名前] で、NAP 正常性証明書の名前をクリックし、[OK] をクリックします。テンプレートが表示されない場合は、既に有効になっているか、この手順を実行する前に作成する必要があります。

    3. NAP 正常性証明書テンプレートがテンプレートの一覧に追加されていることを確認します。

  5. 証明機関コンソールを閉じます。

HRA の証明書登録権限を確認する

HRA がエンタープライズ CA から証明書を取得しクライアントに発行するには、正常性証明書を登録する権限を与えられている必要があります。自動登録権限を有効にすると、HRA はこの証明書をそのローカル証明書ストアに自動的に追加します。登録権限だけが許可されている場合は、HRA サーバー上に正常性証明書を手動で準備する必要があります。HRA にこれらの権限が与えられていることを確認するには、次の手順を実行します。この手順は、スタンドアロン CA を使用している場合には適用されません。

HRA の証明書登録権限を確認するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「certtmpl.msc」と入力して、Enter キーを押します。

  2. 詳細ウィンドウの [テンプレートの表示名] で、NAP 正常性証明書の名前をダブルクリックします。エンタープライズ CA サーバーで Windows Server 2008 が動作している場合は、ドメインで認証された NAP クライアントの既定の正常性証明書テンプレートの表示名は、"システム正常性の認証" となります。

  3. [セキュリティ] タブをクリックします。

  4. [登録] 権限と [自動登録] 権限が HRA サーバーの DNS 名か、HRA サーバーがメンバーになっているグループに許可されていることを確認します。これらの権限が許可されていない場合は、次の手順を実行します。

    1. [追加]、[オブジェクトの種類] の順にクリックし、[コンピューター] チェック ボックスをオンにし、[OK] をクリックします。

    2. [選択するオブジェクト名を入力してください] に、HRA サーバーの DNS 名を入力し、[OK] をクリックします。また、HRA サーバーがメンバーとなっているグループの名前を入力することもできます。

    3. 追加した名前またはグループをクリックし、[登録] と [自動登録] に対して [許可] を選択し、[OK] をクリックします。

  5. 証明書テンプレート コンソールを閉じます。

CA のセキュリティ設定を確認する

CA のセキュリティ設定により、HRA が正常性証明書を発行するための権限を持つかどうかが決まります。NAP CA でこれらの権限を確認するには、次の手順を実行します。この手順は、エンタープライズ CA サーバーとスタンドアロン CA サーバーの両方に適用されます。

証明機関のセキュリティ設定を確認するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「certsrv.msc」と入力して、Enter キーを押します。

  2. CA の共通名を右クリックし、[プロパティ] をクリックします。

  3. [セキュリティ] タブをクリックします。

  4. HRA と NAP CA が同じコンピューターで動作している場合は、[グループ名またはユーザー名] に [NETWORK SERVICE] が表示されていることを確認します。

  5. HRA と NAP CA が異なるコンピューターで動作している場合は、HRA サーバーのコンピューター名が [グループ名またはユーザー名] の下の一覧に表示されていることを確認します。

  6. HRA サーバーの名前をクリックするか、[NETWORK SERVICE] をクリックし、[証明書の発行と管理]、[CA の管理]、および [証明書の要求] の権限が許可されていることを確認します。

  7. [OK] をクリックし、証明機関コンソールを閉じます。

証明書の発行要件を確認する

NAP クライアント コンピューターが、ネットワークの正常性要件に準拠していると判断されたときに、正常性証明書をすぐに取得するためには、NAP CA が正常性証明書を自動的に発行するように構成されている必要があります。証明書が自動的に発行されることを確認するには、次の手順を実行します。この手順は、エンタープライズ CA サーバーとスタンドアロン CA サーバーの両方に適用されます。

証明書の発行要件を確認するには

  1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「certsrv.msc」と入力して、Enter キーを押します。

  2. CA の共通名を右クリックし、[プロパティ] をクリックします。

  3. [ポリシー モジュール] タブ、[プロパティ] の順にクリックします。

  4. [証明書テンプレートに操作が設定されている場合はそれに従い、設定されていない場合は自動的に証明書を発行する] が選択されていることを確認します。

  5. [OK] を 2 回クリックし、証明機関コンソールを閉じます。

その他の参照情報

目次