エンタープライズ認証局の設定

認証局をまだ設定していない場合、Active Directory Certificate Services (AD CS) ロールを Windows Server に追加し、Windows Server がエンタープライズ CA になるように構成する必要があります。

前提条件

Microsoft 証明書サービスのインスタンスが存在する場合は、True SSO にサブ CA を設定するかどうかを検討します。既存のインスタンスが True SSO をサポートするために必要な変更については、VMware ナレッジベース (KB) の記事、https://kb.vmware.com/s/article/2149312を参照してください。

Microsoft 証明書サービスのインスタンスが存在しない場合は、Microsoft のドキュメントを参照して、使用する展開の種類を決定してください。Microsoft のドキュメントを参照するには、https://docs.microsoft.comで公開されている Microsoft ドキュメントで「Server Certificate Deployment Overview」という文字列を検索します。

新しいルート認証局を展開するには、https://docs.microsoft.com で公開されている Microsoft ドキュメントで「Install the Certification Authority」という文字列を検索します。

手順

コマンドプロンプトを開き、次のコマンドを入力して、読み取り専用証明書の処理で使用する CA を構成します。
```
certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS 
```
（オプション） 次のコマンドを入力して、CA のオフライン CRL（証明書失効リスト）のエラーを無視します。
```
certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
```
注：通常、True SSO が使用するルート認証局はオフラインになるため、この設定を使用して失効チェックの失敗を防ぐ必要があります。ただし、ルート認証局をオンラインにしておく場合は、この設定を省略できます。
次のコマンドを入力してサービスを再起動します。
```
sc stop certsvc
sc start certsvc
```

次のタスク

証明書テンプレートを作成します。 True SSO とともに使用する証明書テンプレートの作成を参照してください。