一時的な証明書の発行に使用する証明書テンプレートを作成し、このタイプの証明書を要求できるドメイン内のコンピュータを指定する必要があります。
証明書テンプレートは複数作成することができます。設定できるテンプレートは各ドメインに 1 個のみですが、複数のドメイン間でテンプレートを共有することができます。たとえば、Active Directory フォレストにドメインが 3 個あり、すべてのドメインに True SSO を使用する場合、テンプレートは 1 個、2 個、または 3 個選択できます。すべてのドメインで同じテンプレートを共有することも、各ドメインごとに異なるテンプレートを設定することもできます。
前提条件
- この手順で説明するテンプレートの作成に使用するエンタープライズ CA があることを確認します。エンタープライズ認証局の設定を参照してください。
- スマート カード認証用に Active Directory を準備していることを確認します。詳細については、Horizon 7 のインストールを参照してください。
- 登録サーバのドメインおよびフォレストにセキュリティ グループを作成し、そのグループに登録サーバのコンピュータ アカウントを追加します。
手順
- True SSO を構成するには、認証局に使用しているマシンで、管理者としてオペレーティング システムにログインし、
に移動します。
- 左ペインのツリーを展開し、[証明書テンプレート] を右クリックし、[管理] を選択します。
- [スマートカードによるログオン] テンプレートを右クリックし、[複製] を選択します。
- 以下のタブで次のように変更を加えます。
タブ アクション 互換性タブ - [認証局] には、[Windows Server 2008 R2] を選択します。
- [証明書の受信者] には、[Windows 7/Windows Server 2008 R2] を選択します。
全般タブ - テンプレートの表示名をお好みの名前に変更します。例:True SSO。
- 有効期間の長さを、一般的な営業日での時間、つまりユーザーのシステムへのログイン時間と想定される時間に変更します。
ユーザーがログオン中にネットワーク リソースへのアクセスを失わないように、有効期間をユーザー ドメインの Kerberos TGT 更新時間よりも長くする必要があります。
(チケットのデフォルトの最長有効期間は 10 時間です。デフォルトのドメイン ポリシーを検索するには、
に移動します。) - 更新期間を有効期間の 50% ~ 75% に変更します。
要求処理タブ - [目的] には、[署名とスマート カード ログオン] を選択します。
- [スマート カードの自動…] を選択します。
暗号化タブ - [プロバイダーのカテゴリ] には、[キー格納プロバイダー] を選択します。
- [アルゴリズム名] には、[RSA] を選択します。
サーバ タブ [CA データベース内に証明書および要求を保存しない] を選択します。 重要: [発行される証明書に失効情報を含めない] を必ず選択解除してください(このボックスは 1 番目のボックスを選択すると選択されるため、選択解除(クリア)する必要があります)。発行の要件タブ - [次の数の認証署名] を選択し、このボックスに 1 と入力します。
- [ポリシーの種類] には、[アプリケーション ポリシー] を選択し、ポリシーを [証明書の要求エージェント] に設定します。
- [次の項目を再登録の要件とする] には、[既存の有効な証明書] を選択します。
セキュリティ タブ 登録サーバのコンピュータ アカウント用に作成したセキュリティ グループには、前提条件で説明したように、読み取り、登録の権限を指定します。 - [追加] をクリックします。
- 証明書を登録できるコンピュータを指定します。
- これらのコンピュータについて、該当するチェック ボックスを選択し、各コンピュータに読み取り、登録の権限を指定します。
- [新しいテンプレートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
- [証明書テンプレート コンソール] ウィンドウを閉じます。
- [証明書テンプレート] を右クリックし、 を選択します。
注: この手順は、このテンプレートに基づいて証明書を発行するすべての認証局に必要です。
- [証明書テンプレートの選択] ウィンドウで、作成したテンプレート([True SSO テンプレート] など)を選択し、[OK] をクリックします。
- 登録エージェント(コンピュータ)を構成するには、認証局に使用しているマシンで、管理者としてオペレーティング システムにログインし、
に移動します。
- 左ペインのツリーを展開し、[証明書テンプレート] を右クリックし、[管理] を選択します。
- 登録エージェント(コンピュータ)テンプレートを選択して開き、[セキュリティ] タブで次の変更を加えます。
登録サーバのコンピュータ アカウント用に作成したセキュリティ グループには、前提条件で説明したように、読み取り、登録の権限を指定します。
- [追加] をクリックします。
- 証明書を登録できるコンピュータを指定します。
- これらのコンピュータについて、該当するチェック ボックスを選択し、各コンピュータに読み取り、登録の権限を指定します。
- [証明書テンプレート] を右クリックし、 を選択します。
注: この手順は、このテンプレートに基づいて証明書を発行するすべての認証局に必要です。
- [証明書テンプレートの選択] ウィンドウで、[登録エージェント (コンピュータ)] を選択し、[OK] をクリックします。
次のタスク
登録サービスを作成します。登録サーバのインストールおよび設定を参照してください。