Service Manager ウィザードを使用して Windows Server 2012 認証局 (CA) を設定できます。
Microsoft 認証局 (CA) の標準的な設定手順を以下に示します。ここではラボ環境で使用するのに適した簡単なフォームで手順を説明しますが、実際の本稼働システムでは業界のベスト プラクティスに従って認証局 (CA) を設定することをお勧めします。
認証局 (CA) の設定に関する詳細なガイダンスが必要な場合は、標準の Microsoft テクニカル リファレンスである『ステップ バイ ステップ ガイド - Active Directory 証明書サービス』および『ルート認証局のインストール』を参照してください。
注: このトピックの手順は、Windows Server 2012 R2 の場合の手順です。Windows Server 2008 R2 の場合も、手順はほぼ同じです。
手順
- Server Manager ダッシュボードで、[ロールと機能の追加] をクリックしてウィザードを開き、[次へ] をクリックします。
- [インストール タイプの選択] ページで、ロールベースまたは機能ベースのインストールを選択し、[次へ] をクリックします。
- [サーバの選択] ページで、デフォルトの設定をそのまま使用して [次へ] をクリックします。
- [サーバ ロール] ページで以下を実行します。
- [Active Directory 証明書サービス] を選択します。
- ダイアログで、[管理ツールを含める] を選択し(該当する場合)、[機能の追加] をクリックします。
- [次へ] をクリックします。
- [機能] ページで、[次へ] をクリックします。
- [認証局 CS] ページで、[次へ] をクリックします。
- [ロール サービス] ページで、認証局を選択し、[次へ] をクリックします。
- [確認] ページで、[必要に応じて自動的にターゲット サーバを再起動する] を選択し、[インストール] をクリックします。
インストールの進捗状況が表示されます。インストールが完了すると URL リンクが表示され、新しくインストールした認証局 (CA) をターゲット サーバ上で「Active Directory 証明書サービスの構成」として構成できます。
- 構成リンクをクリックして構成ウィザードを起動します。
- [認証情報] ページで、エンタープライズ管理者グループからユーザー認証情報を入力し、[次へ] をクリックします。
- [ロール サービス] ページで、認証局 (CA) を選択し、[次へ] をクリックします。
- [セットアップ タイプ] ページで、[エンタープライズ CA] を選択し、[次へ] をクリックします。
- [CA のタイプ] ページで、必要に応じて [ルート CA] または [下位 CA] (この例では [ルート CA])を選択し、[次へ] をクリックします。
- [プライベート キー] ページで [新しいプライベート キーを作成する] を選択し、[次へ] をクリックします。
- [暗号化] ページに以下の情報を入力します。
| フィールド |
説明 |
| 暗号化サービス プロバイダ |
RSA#Microsoft Software Key Storage Provider |
| キーの長さ |
4096(または別の任意の長さ) |
| ハッシュ アルゴリズム |
SHA256(または別の任意の SHA アルゴリズム) |
- [CA 名] ページで、任意の値に変更するか、デフォルトの設定をそのまま使用して [次へ] をクリックします。
- [有効期間] ページで、必要な設定を行い [次へ] をクリックします。
- [証明書データベース] ページで、[次へ] をクリックします。
- [確認] ページで情報を確認し、[設定] をクリックします。
- 次のタスクを実行して、構成プロセスを完了します(コマンド プロンプトからすべてのコマンドを実行)。
- 非パーシステントの証明書の処理用に認証局 (CA) を構成します。
certutil –setreg DBFlags
+DBFLAGS_ENABLEVOLATILEREQUESTS
- オフラインの CRL エラーを無視するように認証局 (CA) を構成します。
certutil –setreg ca\CRLFlags
+CRLF_REVCHECK_IGNORE_OFFLINE
- 認証局 (CA) サービスを再起動します。
net stop certsvc
net start certsvc
- 認証局 (CA) での証明書テンプレートの設定の手順に従って、CA の証明書テンプレートを設定します。
