エンタープライズ証明機関 (CA) は、証明書、証明書失効リスト (CRL)、その他のデータを Active Directory コンテナーに発行します。エンタープライズ PKI スナップインを使用して、これらのコンテナー内のオブジェクトを参照および管理することができます。
エンタープライズ PKI スナップインで管理できる Active Directory コンテナーは以下のとおりです。
-
NTAuthCertificates : 現在のフォレスト内のすべての CA 証明書が格納されます。Enterprise Admins グループのメンバーによって新しい CA がインストールされると、証明書は自動的に追加されます。証明書は、[AD コンテナーの管理] ダイアログ ボックスを使用して手動で追加することもできます。
-
AIA コンテナー : 機関情報アクセス (AIA) 証明書拡張機能を使用してクライアントが取得できる CA 証明書が格納されます。AIA 証明書拡張機能は、有効な証明書チェーンを構築し、CA によって発行されたすべてのクロス証明書を取得するために使用されます。
-
CDP コンテナー : フォレスト内で発行された、すべての Base CRL と Delta CRL が格納されます。
-
KRA コンテナー : フォレストのキー回復エージェント用の証明書が格納されます。キー回復エージェントは、キーのアーカイブと回復をサポートするように構成されている必要があります。キー回復エージェントの証明書は、エンタープライズ CA に登録することで、このコンテナーに自動的に追加されます。[AD コンテナーの管理] ダイアログ ボックスを使用して、キー回復エージェントの証明書を手動で追加することはできません。
-
証明機関コンテナー : フォレスト内の信頼されるルート CA の証明書が格納されます。ルート CA の証明書は、Enterprise Admins のメンバーが、そのドメインに参加するエンタープライズ ルート CA またはスタンドアロン ルート CA を設定したときに、自動的に追加されます。ルート CA の証明書は、コマンド プロンプトから手動で追加することもできますが、[AD コンテナーの管理] ダイアログ ボックスからは追加できません。
-
登録サービス コンテナー : フォレスト内のユーザー、コンピューター、サービスに証明書を発行するために利用できるエンタープライズ CA の証明書が格納されます。エンタープライズ CA の証明書は、エンタープライズ CA をインストールする Enterprise Admins のメンバーのみがこのコンテナーに追加できます。この証明書は、[AD コンテナーの管理] ダイアログ ボックスを使用して手動で追加することはできません。