Active Directory証明書サービスでセキュアな公開鍵基盤を構築する（3）：基礎から学ぶサーバーマネージャーの使い方（12）（1/2 ページ）

前回は「Active Directory証明書サービス（AD CS）」のルートCA（スタンドアロンCA）の構築方法を解説した。今回は、発行CAの構築手順を解説する。

[阿部直樹（Microsoft MVP for Hyper-V），三井物産セキュアディレクション株式会社]

連載目次

「AD CSの構成」ウィザードで発行CAを構築する

　前回に続き、「Active Directory証明書サービス（Active Directory Certificate Services：AD CS）」で、ルートCA（Certification Authority：証明機関）と発行CAの2層構造のCAを構築する手順を解説する。前回はルートCA（スタンドアロンCA）を構築したので、今回はその続きとして発行CAの構築手順を解説する（図1）。

図1　2層構造のCA構築例。発行CAの有効期間は「10年」、ルートCAの有効期間は「20年」に設定する

　発行CAを導入するためには、まずドメインのメンバーサーバーに対して「サーバーマネージャー」の「役割と機能の追加」から「Active Directory証明書サービス」をインストールする。この際、「証明機関」および「証明機関Web登録」の役割サービスにチェックを入れてインストールする。また、「Webサーバーの役割」に関しては、既定のままで設定を進める。

　役割サービスのインストール後は「対象サーバーにActive Directory証明書サービスを構成する」をクリックして、「AD CSの構成」ウィザードを起動する。「AD CSの構成」ウィザードでは、以下の表1の内容で設定を進める。

	ウィザードの画面	設定内容
1	資格情報	既存のローカル管理者アカウントが記入されていることを確認する
2	役割サービス	「証明機関」および「証明機関Web登録」にチェックを入れる
3	セットアップの種類	「エンタープライズCA」にチェックが入っていることを確認する
4	CAの種類	「下位CA」にチェックが入っていることを確認する
5	秘密キー	「新しい秘密キーを作成する」にチェックが付いていることを確認する
6	暗号化	キー長が「2048」であることを確認する
7	CA名	CAの共通名を「IssuingCA」に変更する
8	証明書要求	「証明書の要求をターゲットコンピューター上のファイルに保存する」にチェックが入っていることを確認して、既存のファイル名を受け入れる
9	証明書データベース	既定の設定のまま
表1　「AD CSの構成」ウィザードで設定する内容

　「AD CSの構成」ウィザードでは「要求ファイル」が作成されるので、これをルートCAにコピーする。後でこの要求ファイルを使用して、ルートCAで発行CA用の証明書を発行する。

公開サーバーを構成する

　ルートCAの公開ポイントとして、Webサーバーに対し「CDP（CRL Distribution Point：CRL配布ポイント）」と「AIA（Authority Information Access：機関情報アクセス）」のファイルを配置する（図2）。

• CDP（CRL配布ポイント）：発行CAの証明書失効リスト（CRL）を公開する場所を指定する
• AIA（機関情報アクセス）：発行CAの証明書を公開する場所を指定する

図2　公開サーバーの構築。WebサーバーにAIAとCDPファイルを配置することで、公開ポイントを作成することができる

　Webサーバーに「CertData」フォルダーを作成して、CDPとなる「.crl」とAIAとなる「.crt」ファイルを配置することにより、ドメインに参加していないクライアントに対して公開ポイントを作成することができる。

　今回は「オフラインルートCA」として構築するので、ルートCAが発行した証明書の確認のために新たな公開ポイントが必要になる。CDPとAIAを配置するには、「C:\inetpub\wwwroot」に「CertData」フォルダーを作成して「.crl」と「.crt」ファイルをコピーすればよい。

下位CAの証明書を発行する

　続いて、下位CA（発行CA）を構成した際に作成された要求ファイルを使用して、ルートCAで発行CA用の証明書を発行する（図3）。証明書の発行手順は、以下の通り。

図3　発行CAの証明書発行手順

（1）スタートメニューから「証明機関」を起動して「certsrv−［証明機関（ローカル）］」コンソールの左ペインで「RootCA」を右クリックし、「すべてのタスク」→「新しい要求の送信」を選択する。

（2）「要求ファイルを開く」ダイアログボックスが開くので、要求ファイルである「.req」ファイルを選択して「開く」をクリックする。

（3）証明機関コンソールで「保留中の要求」コンテナーの「保留中の要求」を右クリックして、「最新の情報に更新」を選択する。

（4）右側のウィンドウで「要求ID[2]」を右クリックし、「すべてのタスク」を選択して「[発行」をクリックする。

（5）「発行した証明書」コンテナーをクリックする。

（6）右側のウィンドウで証明書をダブルクリックし、「詳細」タブに移動する。

（7）「ファイルにコピー」をクリックする。

（8）証明書のエクスポートウィザードの「証明書のエクスポートの開始」ページで、「次へ」をクリックする。

（9）「エクスポートファイルの形式」ページで「Cryptographic Message Syntax Standard- PKCS #7 証明書（.P7B）」と「証明のパスにある証明書を可能であればすべて含む」にチェックを入れて、「次へ」をクリックする（画面1）。

画面1　証明書のエクスポートウィザードで、エクスポートする証明書のファイル形式を指定する

（10）「エクスポートするファイル」ページで「参照」をクリックする。

（11）「名前を付けて保存」ダイアログボックスが表示されるので、「ファイル名」テキストボックスに「SubCA」と入力し、「保存」「次へ」の順にクリックして、「完了」をクリックする。

（12）発行した証明書ファイル（.p7b）を、発行CAにコピーする。

（13）発行CAの「証明機関（ローカル）」コンソールで「IssuingCA」を右クリックし、「すべてのタスク」→「CA証明書のインストール」をクリックする。

（14）コピーした「SubCA.p7b」ファイルを選択して、「開く」をクリックする。

（15）15〜20秒待ち、ツールバーの緑色のアイコンをクリックして、CAサービスを開始する。

（16）CAが正常に起動されることを確認する。