いろんなサーバー設定研究所

インフラエンジニアに役立つ各種設定やTipsを提供します Windows Server、Linux など

*

Active Directory 証明書サービス の Web登録に証明書テンプレートを追加する

      2015/05/23

エンタープライズ環境では、自前で証明書のCA(認証局)を構築して、社内に証明書を配布している場合が多いと思います。

今回、自前で作成した証明書テンプレートをワークグループ環境のPCにインストールする必要があり、証明書サービスのweb登録(http://ホスト名/certsrv)から証明書を発行しようとしたのですが、お目当ての証明書テンプレートが見つからず、困ってしまいました。

デフォルトで登録されている証明書テンプレートは上記の通り

今回は「Active Directory 証明書サービス の Web登録に証明書テンプレートを追加する」手順を紹介していきます。


Web登録用証明書テンプレートを作成する

CAとなるサーバーからmmcを起動し、証明書スナップインを追加し表示します。

スナップインを表示したら既存のテンプレートから、作成する証明書の要件にあうテンプレートを選び複製します。

今回はコンピュータ認証を行いたいので「コンピューター」をベースにしました。

適当な名前をつけます

次に「サブジェクト名」タブを開きます。

デフォルトでは「Active Directoryの情報からっ構築する」にチェックが入っています。

これはドメイン環境下にて、ドメイン参加しているコンピューターに対しグループポリシーを使い自動登録したい場合に利用すべき設定です。

通常、証明書要求を発行するときはフレンドリ名などの「サブジェクト」という情報を一緒に送信する必要があります、それらの情報をADやDNS上から引っ張ってくる時に利用されるべきものです。

ただ今回はweb登録から証明書を発行するので、サブジェクトはADに登録されている情報を利用せず、要求に含まれる形になります。

この様な時は「要求に含まれる」の方をチェックしましょう。

「要求に含まれる」の方をチェックをすると警告(確認)が表示されますが、気にしなくてOKです。

この設定を行ったら「OK」をクリックしテンプレートを保存します。

証明書テンプレートを発行する

前項で作成した証明書を証明機関から発行し、テンプレートを利用できるようにします。

今度は管理ツールから認証機関を起動し、証明書テンプレートを右クリックして「新規作成」-「発行する証明書テンプレート」と選択していきます。

先ほど作成した「TestCert」が表示されるので、選択した状態で「OK」をクリックします。

これで作成した証明書テンプレートが無事発行されました。

当初の目的だった、証明書のWeb登録に表示されるようになったか確認してみます。

無事表示されるようになりました。

Active Directory 証明書サービス の Web登録に証明書テンプレートを追加したい場合、テンプレート作成時にサブジェクトを要求に含むようにして作成しましょう。

地味にはまりました…

 - Windows Server