Active Directory 証明書サービスとは
Active Directory 証明書サービス (AD CS) は、セキュリティで保護された通信と認証プロトコルで使われる公開キー インフラストラクチャ (PKI) 証明書を発行および管理するための Windows Server ロールです。
証明書を発行して管理する
デジタル証明書を使うと、電子ドキュメントやメッセージを暗号化およびデジタル署名したり、ネットワーク上のコンピューター、ユーザー、またはデバイス アカウントを認証したりできます。 たとえば、デジタル証明書は次のことを提供するために使われます。
- 暗号化による機密性。
- デジタル署名による整合性。
- 証明書キーとコンピューター ネットワーク上のコンピューター、ユーザー、またはデバイスのアカウントとの関連付けによる認証。
主要な機能
AD CS は、次の重要な機能を提供します。
証明機関: ルートと下位の証明機関 (CA) は、証明書をユーザー、コンピューター、サービスに発行し、証明書の有効性を管理するために使われます。
Web 登録: CA Web 登録を使うと、ユーザーは、Web ブラウザーで CA に接続して、証明書を要求し、証明書失効リスト (CRL) を取得することができます。
オンライン レスポンダー: オンライン レスポンダー サービスは、特定の証明書の失効状態要求をデコードし、それらの証明書の状態を評価して、要求された証明書状態情報を含む署名付きの応答を返信します。
ネットワーク デバイス登録サービス: ネットワーク デバイス登録サービスを使うと、ドメイン アカウントを持っていないルーターや他のネットワーク デバイスが証明書を取得できます。
TPM キーの構成証明: 証明機関は、秘密キーがハードウェアベースの TPM によって保護されていることと、TPM が CA によって信頼されたものであることを検証できます。 TPM キーの構成証明は、証明書が承認されていないデバイスにエクスポートされるのを防ぎ、ユーザー ID をデバイスにバインドできます。
証明書の登録ポリシー Web サービス: 証明書の登録ポリシー Web サービスを使うと、ユーザーとコンピューターは、証明書の登録ポリシーの情報を取得できます。
証明書の登録 Web サービス: 証明書の登録 Web サービスを使うと、ユーザーとコンピューターは、Web サービスを介して証明書の登録を実行できます。 証明書の登録ポリシー Web サービスと合わせて使うことで、クライアント コンピューターがドメインのメンバーでない場合や、ドメイン メンバーが自身のドメインに接続していない場合に、ポリシー ベースの証明書の登録が可能になります。
メリット
AD CS を使用うと、人、コンピューター、またはサービスの ID を対応する秘密キーにバインドすることで、セキュリティを強化できます。 AD CS により、費用対効果の高い、効率的で安全な方法で、証明書の配布と使用を管理できます。 ID と秘密キーのバインドに加えて、AD CS には、証明書の登録と失効を管理できる機能も含まれています。
Active Directory の既存のエンドポイント ID 情報を使って、証明書を登録できます。つまり、情報を証明書に自動的に挿入できます。 AD CS を使うと、Active Directory グループ ポリシーを構成して、特定のユーザーとマシンに許可される証明書の種類を指定することもできます。 グループ ポリシーの構成を使うと、ロールベースまたは属性ベースのアクセス制御が可能になります。
AD CS でサポートされているアプリケーションには、S/MIME (Secure/Multipurpose Internet Mail Extensions)、セキュリティで保護されたワイヤレス ネットワーク、仮想プライベート ネットワーク (VPN)、インターネット プロトコル セキュリティ (IPsec)、暗号化ファイル システム (EFS)、スマート カード サインイン、SSL/TLS (Secure Socket Layer/Transport Layer Security)、デジタル署名などがあります。