一時的な証明書の発行に使用する証明書テンプレートを作成し、このタイプの証明書を要求できるドメイン内のコンピュータを指定する必要があります。

証明書テンプレートは複数作成することができます。設定できるテンプレートは各ドメインに 1 個のみですが、複数のドメイン間でテンプレートを共有することができます。たとえば、Active Directory フォレストにドメインが 3 個あり、すべてのドメインに True SSO を使用する場合、テンプレートは 1 個、2 個、または 3 個選択できます。すべてのドメインで同じテンプレートを共有することも、各ドメインごとに異なるテンプレートを設定することもできます。

前提条件

  • この手順で説明するテンプレートの作成に使用するエンタープライズ CA があることを確認します。「エンタープライズ認証局の設定」を参照してください。
  • スマート カード認証用に Active Directory を準備していることを確認します。詳細については、『Horizon 8 インストールとアップグレード』ドキュメントの「Active Directory の準備」のトピックを参照してください。
  • 登録サーバのドメインおよびフォレストにセキュリティ グループを作成し、そのグループに登録サーバのコンピュータ アカウントを追加します。

手順

  1. True SSO を構成するには、認証局に使用しているマシンで、管理者としてオペレーティング システムにログインし、[管理ツール] > [証明機関] に移動します。
    1. 左ペインのツリーを展開し、[証明書テンプレート] を右クリックし、[管理] を選択します。
    2. [スマートカードによるログオン] テンプレートを右クリックし、[複製] を選択します。
    3. 以下のタブで次のように変更を加えます。
      タブ アクション
      互換性タブ
      • [認証局の] には、Windows オペレーティング システムを選択します。
      • [認証局の ] には、Windows オペレーティング システムを選択します。
      全般タブ
      • テンプレートの表示名をお好みの名前に変更します。例:True SSO。
      • 有効期間の長さを、一般的な営業日での時間、つまりユーザーのシステムへのログイン時間と想定される時間に変更します。

        ユーザーがログオン中にネットワーク リソースへのアクセスを失わないように、有効期間をユーザー ドメインの Kerberos TGT 更新時間よりも長くする必要があります。

        (チケットのデフォルトの最長有効期間は 10 時間です。デフォルトのドメイン ポリシーを検索するには、[コンピュータの構成] > [ポリシー] > [Windows の設定] > [セキュリティ設定] > [アカウント ポリシー] > [Kerberos ポリシー: チケットの最長有効期間] に移動します。)

      • 更新期間を有効期間の 50% ~ 75% に変更します。
      要求処理タブ
      • [目的] には、[署名とスマート カード ログオン] を選択します。
      • [スマート カードの自動…] を選択します。
      暗号化タブ
      • [プロバイダーのカテゴリ] には、[キー格納プロバイダー] を選択します。
      • [アルゴリズム名] には、[RSA] を選択します。
      サーバ タブ [CA データベース内に証明書および要求を保存しない] を選択します。
      重要: [発行される証明書に失効情報を含めない] を必ず選択解除してください(このボックスは 1 番目のボックスを選択すると選択されるため、選択解除(クリア)する必要があります)。
      発行の要件タブ
      • [次の数の認証署名] を選択し、このボックスに 1 と入力します。
      • [ポリシーの種類] には、[アプリケーション ポリシー] を選択し、ポリシーを [証明書の要求エージェント] に設定します。
      • [次の項目を再登録の要件とする] には、[既存の有効な証明書] を選択します。
      注:

      スマート カード証明書の自動書き換えで、新しいキーを作成できない場合は既存のキーを使用します。

      セキュリティ タブ 登録サーバのコンピュータ アカウント用に作成したセキュリティ グループには、前提条件で説明したように、読み取り、登録の権限を指定します。
      1. [追加] をクリックします。
      2. 証明書を登録できるコンピュータを指定します。
      3. これらのコンピュータについて、該当するチェック ボックスを選択し、各コンピュータに読み取り、登録の権限を指定します。
    4. [新しいテンプレートのプロパティ] ダイアログ ボックスで、[OK] をクリックします。
    5. [証明書テンプレート コンソール] ウィンドウを閉じます。
    6. [証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。
      注: この手順は、このテンプレートに基づいて証明書を発行するすべての認証局に必要です。
    7. [証明書テンプレートの選択] ウィンドウで、作成したテンプレート([True SSO テンプレート] など)を選択し、[OK] をクリックします。
  2. 登録エージェント(コンピュータ)を構成するには、認証局に使用しているマシンで、管理者としてオペレーティング システムにログインし、[管理ツール] > [証明機関] に移動します。
    1. 左ペインのツリーを展開し、[証明書テンプレート] を右クリックし、[管理] を選択します。
    2. 登録エージェント(コンピュータ)テンプレートを選択して開き、[セキュリティ] タブで次の変更を加えます。
      登録サーバのコンピュータ アカウント用に作成したセキュリティ グループには、前提条件で説明したように、読み取り、登録の権限を指定します。
      1. [追加] をクリックします。
      2. 証明書を登録できるコンピュータを指定します。
      3. これらのコンピュータについて、該当するチェック ボックスを選択し、各コンピュータに読み取り、登録の権限を指定します。
    3. [証明書テンプレート] を右クリックし、[新規作成] > [発行する証明書テンプレート] を選択します。
      注: この手順は、このテンプレートに基づいて証明書を発行するすべての認証局に必要です。
    4. [証明書テンプレートの選択] ウィンドウで、[登録エージェント (コンピュータ)] を選択し、[OK] をクリックします。

次のタスク

登録サービスを作成します。