ここでは、Windows Servier 2012 を用いて、Active Directory 証明書サービス を スタンドアロン ルート CA で構成する手順を記載します。 Active Directory とは連動せず、サーバー単独で証明書を発行、破棄するようなサービスを想定しています。
目次
役割 の インストール
- 「サーバーマネージャー」から [役割と機能の追加] を選択
- 「役割と機能の追加 ウィザード」で「開始する前に」を読んで [次へ] を選択
- 「インストールの種類」で [役割ベースまたは昨日ベースのインストール] が選択されていることを確認し、 [次へ] を選択
- 「サーバーの選択」で 現在操作しているサーバー が選択されていることを確認し、 [次へ] を選択
- 「サーバーの役割」で [Active Directory 証明書サービス] を選択
- 必要な機能を追加するかの確認で [機能追加] を選択
- 「サーバーの役割」で [Active Directory 証明書サービス] にチェックがついたことを確認し、 [次へ] を選択
- 「機能」は特に何もせず [次へ] を選択
- 「AD CS」で説明を読んで [次へ] を選択
- 「役割サービス」で [証明機関] にチェックを入れて [次へ] を選択
- 「確認」でインストールする内容を確認して [インストール] を選択
- 「結果」で [対象サーバーに Active Directory 証明書サービスを構成する] を選択
- AD CS の構成
この部分の詳細は、この後「Active Directory 証明書サービスの構成」に記載します。
- [閉じる] を選択
Active Directory 証明書サービス の構成
- 「資格情報」で権限のあるユーザーが選択されていることを確認して [次へ] を選択
- 「役割サービス」で [証明機関] にチェックを入れる
- 構成内容が表示されるので [次へ] を選択
- 「セットアップの種類」で [スタンドアロン CA] が選択されていることを確認して [次へ] を選択
- 「CA の種類」で [ルート CA] が選択されていることを確認して [次へ] を選択
- 「秘密キー」で [新しい秘密キーを作成する] が選択されていることを確認して [次へ] を選択
- 「暗号化」で内容を確認、必要があれば修正して [次へ] を選択
- 「CA 名」で [この CA の共通名] を変更して [次へ] を選択
電子証明書で [発行者] に表示される文字列になります。 2バイト文字も使えるようですが…止めた方が良いと思います。
- 「有効期間」を確認、変更して [次へ] を選択
この設定は後から レジストリ を修正することで変更できます。
- 「証明書データベース」で保存先を確認、変更して [次へ] を選択
- 「確認」で構成内容を確認し、 [構成] を選択
- 「結果」を確認して [閉じる] を選択
関連記事
- IIS で SSL/TLS を 自己署名入り証明書 で 設定 する方法
- Active Directory 証明書サービス(AD CA) の ルート証明書 を エクスポート する 方法
- 信頼されたルート証明機関 に 電子証明書 を インポート する方法
- IIS で SSL/TLS を AD CA 発行の証明書 で 設定 する方法
参考記事
- ASCII.jp - Windows Serverを認証局にしよう
- iPentec - Windows Serverに認証機関をインストールする (Active Directory 証明書サービスのインストール)
- @IT - 証明書サービスでサーバ証明書を発行する
最後に… このブログに興味を持っていただけた方は、 ぜひ 「Facebookページ に いいね!」または 「Twitter の フォロー」 お願いします!!