View Server 証明書が、クライアント コンピュータと View Administrator にアクセスするクライアント コンピュータによって信頼されていない CA によって署名されている場合、ドメイン内のすべての Windows クライアント システムをルート証明書と中間証明書を信頼するように構成できます。そのためには、Active Directory の [信頼されたルート証明機関] グループ ポリシーにルート証明書のパブリック キーを追加して、ルート証明書を Enterprise NTAuth ストアに追加する必要があります。

たとえば、ユーザーの組織が内部の証明書サービスを使用している場合には、これらの手順を実行する必要がある場合があります。

Windows ドメイン コントローラがルート CA として機能する場合、または証明書が既知の CA によって署名されている場合は、この手順を実行する必要はありません。既知の CA については、オペレーティング システムのベンダーにより、クライアント システムにルート証明書があらかじめインストールされます。

知名度がほとんどない中間 CA によってサーバ証明書が署名されている場合には、中間証明書を Active Directory の [中間証明書機関] グループ ポリシーに追加する必要があります。

Windows 以外のオペレーティング システムを使用するクライアント デバイスについては、ユーザーがインストール可能なルート証明書と中間証明書の配布に関する次の手順を参照してください。

前提条件

サーバ証明書が 1024 以上の KeyLength 値で生成されていることを確認します。クライアント エンドポイントは、1024 未満の KeyLength で生成されたサーバ上の証明書は検証しません。この場合、クライアントはサーバへの接続に失敗します。

手順

  1. Active Directory サーバで、certutil コマンドを使用して、証明書を Enterprise NTAuth ストアに発行します。
    例: certutil -dspublish -f ルート CA 証明書へのパス NTAuthCA
  2. Active Directory サーバで、Group Policy Management プラグインに移動します。
    Active Directory のバージョン ナビゲーション パス
    Windows 2003
    1. [スタート] > [すべてのプログラム] > [管理ツール] > [Active Directory ユーザーとコンピュータ] の順に選択します。
    2. ドメインを右クリックして、[プロパティ] をクリックします。
    3. [グループ ポリシ] タブで、[開く] をクリックして Group Policy Management プラグインを開きます。
    4. [既定のドメイン ポリシー] を右クリックし、[編集] をクリックします。
    Windows 2008
    1. [スタート] > [管理ツール] > [グループ ポリシーの管理] の順に選択します。
    2. ドメインを展開し、[デフォルト ドメイン ポリシー] を右クリックして、[編集] をクリックします。
  3. [コンピュータの構成] セクションを展開し、[Windows 設定] > [セキュリティ設定] > [パブリック キーポリシー] に移動します。
  4. 証明書をインポートします。
    オプション 説明
    ルート証明書
    1. [信頼されたルート証明機関] を右クリックして、[インポート] を選択します。
    2. ウィザードの指示に従ってルート証明書(rootCA.cer など)をインポートし、[OK] をクリックします。
    中間証明書
    1. [中間証明機関] を右クリックして、[インポート] を選択します。
    2. ウィザードの指示に従って中間証明書(intermediateCA.cer など)をインポートし、[OK] をクリックします。
  5. [Group Policy(グループ ポリシー)] ウィンドウを閉じます。

結果

これで、ドメイン内のすべてのシステムの信頼されたルート証明機関のストアと中間証明機関のストアに、ルート証明書と中間証明書を信頼できるようにする証明書情報が追加されました。