エンタープライズ認証局の設定

認証局をまだ設定していない場合、Active Directory Certificate Services (AD CS) ロールを Windows Server に追加し、Windows Server がエンタープライズ CA になるように構成する必要があります。

前提条件

Microsoft 証明書サービスのインスタンスが存在する場合は、True SSO にサブ CA を設定するかどうかを検討します。既存のインスタンスが True SSO をサポートするために必要な変更については、VMware ナレッジベース (KB) の記事、「https://kb.vmware.com/s/article/2149312」を参照してください。

Microsoft 証明書サービスのインスタンスが存在しない場合は、Microsoft のドキュメンテーションを参照して、使用する展開の種類を決定してください。Microsoft のドキュメンテーションを参照するには、https://docs.microsoft.comで公開されている Microsoft ドキュメンテーションで「Server Certificate Deployment Overview」という文字列を検索します。

新しいルート認証局を展開するには、https://docs.microsoft.com で公開されている Microsoft ドキュメンテーションで「Install the Certification Authority」という文字列を検索します。

手順

コマンドプロンプトを開き、次のコマンドを入力して、読み取り専用証明書の処理で使用する CA を構成します。
```
certutil -setreg DBFlags +DBFLAGS_ENABLEVOLATILEREQUESTS 
```
（オプション） ルート CA CRL の期限切れが許可されている場合にサービスの中断を防ぐには、次のコマンドを入力します。
```
certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
```
注： True SSO が使用するルート CA がオフラインのままになっている場合は、この設定が必要になることがあります。ルート CA をオンラインのままにする場合、またはルート CA CRL を自動的に最新の状態にする手段がある場合は、この設定をスキップできます。
次のコマンドを入力してサービスを再起動します。
```
sc stop certsvc
sc start certsvc
```

次のタスク

証明書テンプレートを作成します。 True SSO とともに使用する証明書テンプレートの作成を参照してください。