認証局 (CA) 上で証明書テンプレートを構成することができます。証明書テンプレートは、認証局 (CA) によって生成される証明書の基本です。

前提条件

Windows Server 2012 R2 認証局のインストールと構成

手順

  1. 新しいユニバーサル セキュリティ グループを作成します。

    これにより、ユーザーに代わって証明書を発行するために必要な権限を単一のセキュリティ グループに割り当てることができるようになります。VMware 登録サーバがインストールされているすべてのコンピュータは、このグループのメンバーになることによってそれらの権限を継承できます。

    1. 開始 をクリックし、「dsa.msc」と入力します。

      [Active Directory ユーザーとコンピュータ] ダイアログが表示されます。

    2. ツリーで、ドメイン コントローラの ユーザー フォルダを右クリックし、新規 > グループ を選択します。

      [新規オブジェクト - グループ] ダイアログが表示されます。

    3. [グループ名] フィールドで、新しいグループの名前を入力します。たとえば、TrueSSO Enrollment Servers などです。
    4. 以下のように設定を行います。

      設定

      グループのスコープ

      ユニバーサル

      グループ タイプ

      セキュリティ

    5. OK をクリックします。

      [Active Directory ユーザーとコンピュータ] ダイアログのツリーに新しいグループが表示されます。

    6. グループを右クリックして、プロパティ を選択します。
    7. [次のメンバー] タブで、登録サーバがインストールされるコンピュータを追加し、OK をクリックします。
    8. 登録サーバがインストールされるコンピュータを再起動します。
  2. 証明書テンプレートを構成します。
    1. コントロール パネル > 管理ツール > 認証局 の順に選択します。
    2. ツリーで、ローカルの認証局 (CA) 名を展開します。
    3. [証明書テンプレート] フォルダを右クリックし、管理 を選択します。

      証明書テンプレート コンソールが表示されます。

    4. [スマートカード ログイン] テンプレートを右クリックし、テンプレートの複製 を選択します。

      [新規テンプレートのプロパティ] ダイアログが表示されます。

    5. ダイアログのタブに以下のように情報を入力します。

      タブ

      設定

      [互換性]

      • [変更の結果を表示] チェック ボックスをオンにします。

      • [認証局] - [Windows Server 2008 R2]

      • [証明書の受信者] - [Windows 7 / Server 2008 R2]

      [全般]

      • [テンプレートの表示名] - 任意の名前。たとえば、「True SSO Template」などです。

      • [テンプレート名] - 任意の名前。たとえば、「True SSO Template」などです。

      • [有効期間] - 1 時間

      • [更新期間] - 0 週間

      [要求の処理]

      • [目的] - [署名とスマートカード ログイン]

      • [スマートカード証明書の自動更新の場合 . . .] チェック ボックスをオンにします。

      • [登録時にユーザーにプロンプトを表示] ラジオ ボタンをオンにします。

      [暗号化]

      • [プロバイダのカテゴリ] - [キー ストレージ プロバイダ]

      • [アルゴリズム名] - [RSA]

      • [キーの最小サイズ] - [2048]

      • [要求に使用可能な任意のプロバイダを使用できる...] ラジオ ボタンをオンにします。

      • [要求ハッシュ] - [SHA256]

      [サブジェクト名]

      • [この Active Directory 情報からビルド] ラジオ ボタンをオンにします。

      • [サブジェクト名の形式] - [完全識別名 (DN)]

      • [ユーザー プリンシパル名 (UPN)] チェック ボックスをオンにします。

      [サーバ]

      [CA データベース内に証明書および要求を保存しない] チェック ボックスをオンにします。

      [発行の要件]

      • [登録には以下が必要] - [認証された署名の数] を選択して「1」を入力

      • [署名に必要なポリシー タイプ] - [アプリケーション ポリシー]

      • [アプリケーション ポリシー] - [証明書要求エージェント]

      • [登録には以下が必要] - [有効な既存の証明書]

      セキュリティ

      上部のタブで、作成した新しいグループを選択します。次に、下部のタブでは、読み取りと登録権限に対して [許可] を選択します。

    6. OK をクリックします。
  3. True SSO のテンプレートを発行します。
    1. [証明書テンプレート] フォルダをもう一度右クリックし、新規 > 発行する証明書テンプレート を選択します。

      [証明書テンプレートを有効にする] ダイアログが表示されます。

    2. [TrueSsoTemplate] を選択し、OK をクリックします。
  4. 登録エージェント テンプレートを発行します。
    1. [証明書テンプレート] フォルダをもう一度右クリックし、新規 > 発行する証明書テンプレート を選択します。

      [証明書テンプレートを有効にする] ダイアログが表示されます。

    2. 登録エージェント コンピュータを選択し、OK をクリックします。
      注:

      このテンプレートには、前の手順で発行されたテンプレートと同じセキュリティ設定が必要です。

タスクの結果

これで、認証局 (CA) は True SSO で使用するための適切な証明書テンプレートを使用して設定および構成されました。

次のタスク

登録サーバの設定