一時的な証明書の発行に使用する証明書テンプレートを作成し、このタイプの証明書を要求できるドメイン内のコンピュータを指定する必要があります。

1. 認証局に使用しているマシンで、オペレーティング システムに管理者としてログインし、[管理ツール] > [証明機関] に移動します。
2. 左ペインのツリーを展開し、[証明書テンプレート] を右クリックし、[管理] を選択します。
3. [スマートカードによるログオン] テンプレートを右クリックし、[複製] を選択します。
4. 以下のタブで次のように変更を加えます。

   タブ	アクション
   互換性タブ	[認証局] には、[Windows Server 2008 R2] を選択します。 [証明書の受信者] には、[Windows 7/Windows Server 2008 R2] を選択します。
   全般タブ	テンプレートの表示名を True SSO に変更します。 有効期間の長さを、一般的な営業日での時間、つまりユーザーのシステムへのログイン時間と想定される時間に変更します。 ユーザーがログオン中にネットワーク リソースへのアクセスを失わないように、有効期間をユーザー ドメインの Kerberos TGT 更新時間よりも長くする必要があります。 （チケットのデフォルトの最長有効期間は 10 時間です。デフォルトのドメイン ポリシーを検索するには、[コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティ設定] > [アカウント ポリシー] > [Kerberos ポリシー: チケットの最長有効期間] に移動します。） 更新期間を 1 日に変更します。
   要求処理タブ	[目的] には、[署名とスマート カード ログオン] を選択します。 [スマート カードの自動…] を選択します。
   暗号化タブ	[プロバイダーのカテゴリ] には、[キー格納プロバイダー] を選択します。 [アルゴリズム名] には、[RSA] を選択します。
   サーバ タブ	[CA データベース内に証明書および要求を保存しない] を選択します。 重要: : [発行される証明書に失効情報を含めない] を必ず選択解除してください（このボックスは 1 番目のボックスを選択すると選択されるため、選択解除（クリア）する必要があります）。
   発行の要件タブ	[次の数の認証署名] を選択し、このボックスに 1 と入力します。 [ポリシーの種類] には、[アプリケーション ポリシー] を選択し、ポリシーを [証明書の要求エージェント] に設定します。 [次の項目を再登録の要件とする] には、[既存の有効な証明書] を選択します。
   セキュリティ タブ	登録サーバのコンピュータ アカウント用に作成したセキュリティ グループには、前提条件で説明したように、読み取り、登録の権限を指定します。 [追加] をクリックします。 証明書を登録できるコンピュータを指定します。 これらのコンピュータについて、該当するチェック ボックスを選択し、各コンピュータに読み取り、登録の権限を指定します。

5. [新しいテンプレートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
6. [証明書テンプレート コンソール] ウィンドウを閉じます。
7. [証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。
   注: : この手順は、このテンプレートに基づいて証明書を発行するすべての認証局に必要です。
8. [証明書テンプレートの選択] ウィンドウで、作成したテンプレート（[True SSO テンプレート] など）を選択し、[OK] をクリックします。
9. [証明書テンプレートの選択] ウィンドウで、[登録エージェント (コンピュータ)] を選択し、[OK] をクリックします。