次の手順を使用して、Active Directory® 証明書サービス (AD CS) をインストールし、ネットワーク ポリシー サーバー (NPS) を実行するサーバーにサーバー証明書を登録することができます。証明書ベースの認証を展開する場合は、NPS を実行するサーバーにサーバー証明書が必要です。これらのサーバーは、認証処理中に各自のサーバー証明書を識別の証拠としてクライアント コンピューターに送信します。

NPS サーバー証明書の登録の構成処理は、次の 3 段階で行われます。

  1. AD CS サーバーの役割をインストールします。この手順は、証明機関をネットワークにまだ展開していない場合にのみ必要です。

  2. サーバー証明書のテンプレートおよび自動登録を構成します。CA は証明書テンプレートを基に証明書を発行するため、NPS サーバーの証明書に使用するテンプレートを構成しないと、CA は証明書を発行できません。自動登録を構成すると、ネットワーク上のすべての NPS を実行するサーバーが、NPS を実行するサーバー上でグループ ポリシーが更新されたときに、サーバー証明書を受信します。後でサーバーを追加した場合も、新しいサーバーは自動的にサーバー証明書を受信します。

  3. NPS を実行するサーバーのグループ ポリシーを更新します。グループ ポリシーが更新されると、NPS を実行するサーバーは 2 種類の証明書を受信します。1 つは、前の手順で構成したテンプレートに基づくサーバー証明書です。この証明書は、NPS が自身の識別情報をネットワークへ接続するクライアント コンピューターに提供するために使用します。もう 1 つの証明書は発行元 CAの 証明書で、NPS を実行するサーバーの信頼されたルート証明機関証明書ストアに自動的にインストールされます。NPS はこの証明書を使用して、他のコンピューターから受信した証明書を信頼すべきかどうかを判断します。たとえば、拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) を展開している場合、クライアント コンピューターは証明書を使用して、自身の識別情報を NPS を実行するサーバーに提供します。サーバーはクライアント コンピューターから証明書を受信すると、NPS を実行するサーバーが、発行元の CA の証明書を、サーバー自身の信頼されるルート証明機関証明書ストア内にあることを確認し、その証明書に対する信頼が確立されます。

NPS サーバー証明書を自動登録するのではなく、次のいずれかの方法を使用して証明書を登録することもできます。

  • NPS サーバー証明書をフロッピー ディスクや CD から手動で NPS 証明書ストアにインポートします。

  • 証明書サービス Web 登録ツールを使用して、NPS サーバー証明書を取得します。

NPS サーバー証明書はコンピューター証明書であるため、これは現在のユーザーではなくローカル コンピューターの証明書ストアにインポートする必要があります。

注意

NPS サーバー証明書が誤って現在のユーザーの証明書ストアにインストールされた場合、証明書の秘密キーに、ローカル システムによるキーのアクセスを阻止する不適切な構成のアクセス制御リスト (ACL) が設定されるため、NPS はこの証明書を EAP または 保護された EAP (PEAP) 認証に使用することができません。証明書 Microsoft 管理コンソール (MMC) スナップインを使用すると、NPS サーバー証明書の場所を確認できます。ただし、NPS サーバー証明書が誤った場所に格納されている場合、現在のユーザーからローカル コンピューターの証明書ストアにこの証明書をドラッグ アンド ドロップしないでください。証明書の秘密キーには、不適切な構成の ACL が設定されたままです。上記のような操作ではなく、AD CS を使用して証明書を失効し、NPS を実行するサーバーに新しいサーバー証明書を発行してください。

CA および自動登録 NPS サーバー証明書を展開するには、次の手順を実行してください。


目次