一時的な証明書の発行に使用する証明書テンプレートを作成し、このタイプの証明書を要求できるドメイン内のコンピュータを指定する必要があります。

複数の証明書テンプレートを作成できますが、常に使用されるように構成できるテンプレートは 1 つのみです。

前提条件

  • この手順で説明するテンプレートの作成に使用するエンタープライズ CA があることを確認します。エンタープライズ認証局の設定を参照してください。
  • スマート カード認証用に Active Directory を準備していることを確認します。詳細については、『View のインストール』を参照してください。
  • 登録サーバのドメインおよびフォレストにセキュリティ グループを作成し、そのグループに登録サーバのコンピュータ アカウントを追加します。

手順

  1. 認証局に使用しているマシンで、オペレーティング システムに管理者としてログインし、[管理ツール] > [証明機関] に移動します。
  2. 左ペインのツリーを展開し、[証明書テンプレート] を右クリックし、[管理] を選択します。
  3. [スマートカードによるログオン] テンプレートを右クリックし、[複製] を選択します。
  4. 以下のタブで次のように変更を加えます。
    タブ アクション
    互換性タブ
    • [認証局] には、[Windows Server 2008 R2] を選択します。
    • [証明書の受信者] には、[Windows 7/Windows Server 2008 R2] を選択します。
    全般タブ
    • テンプレートの表示名を True SSO に変更します。
    • 有効期間の長さを、一般的な営業日での時間、つまりユーザーのシステムへのログイン時間と想定される時間に変更します。

      ユーザーがログオン中にネットワーク リソースへのアクセスを失わないように、有効期間をユーザー ドメインの Kerberos TGT 更新時間よりも長くする必要があります。

      (チケットのデフォルトの最長有効期間は 10 時間です。デフォルトのドメイン ポリシーを検索するには、[コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティ設定] > [アカウント ポリシー] > [Kerberos ポリシー: チケットの最長有効期間] に移動します。)

    • 更新期間を 1 日に変更します。
    要求処理タブ
    • [目的] には、[署名とスマート カード ログオン] を選択します。
    • [スマート カードの自動…] を選択します。
    暗号化タブ
    • [プロバイダーのカテゴリ] には、[キー格納プロバイダー] を選択します。
    • [アルゴリズム名] には、[RSA] を選択します。
    サーバ タブ [CA データベース内に証明書および要求を保存しない] を選択します。
    重要: : [発行される証明書に失効情報を含めない] を必ず選択解除してください(このボックスは 1 番目のボックスを選択すると選択されるため、選択解除(クリア)する必要があります)。
    発行の要件タブ
    • [次の数の認証署名] を選択し、このボックスに 1 と入力します。
    • [ポリシーの種類] には、[アプリケーション ポリシー] を選択し、ポリシーを [証明書の要求エージェント] に設定します。
    • [次の項目を再登録の要件とする] には、[既存の有効な証明書] を選択します。
    セキュリティ タブ 登録サーバのコンピュータ アカウント用に作成したセキュリティ グループには、前提条件で説明したように、読み取り、登録の権限を指定します。
    1. [追加] をクリックします。
    2. 証明書を登録できるコンピュータを指定します。
    3. これらのコンピュータについて、該当するチェック ボックスを選択し、各コンピュータに読み取り、登録の権限を指定します。
  5. [新しいテンプレートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
  6. [証明書テンプレート コンソール] ウィンドウを閉じます。
  7. [証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。
    注: : この手順は、このテンプレートに基づいて証明書を発行するすべての認証局に必要です。
  8. [証明書テンプレートの選択] ウィンドウで、作成したテンプレート([True SSO テンプレート] など)を選択し、[OK] をクリックします。
  9. [証明書テンプレートの選択] ウィンドウで、[登録エージェント (コンピュータ)] を選択し、[OK] をクリックします。

次のタスク

登録サービスを作成します。登録サーバのインストールおよび設定を参照してください。