802.1 X 有線および無線展開のサーバー証明書を展開するDeploy Server Certificates for 802.1X Wired and Wireless Deployments

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

このガイドを使用して、リモートアクセスおよびネットワークポリシーサーバー (NPS) インフラストラクチャサーバーにサーバー証明書を展開することができます。You can use this guide to deploy server certificates to your Remote Access and Network Policy Server (NPS) infrastructure servers.

このガイドは次のセクションで構成されます。This guide contains the following sections.

デジタルサーバー証明書Digital server certificates

このガイドでは、Active Directory 証明書サービス (AD CS) を使用して、リモートアクセスおよび NPS インフラストラクチャサーバーに証明書を自動的に登録する方法について説明します。This guide provides instructions for using Active Directory Certificate Services (AD CS) to automatically enroll certificates to Remote Access and NPS infrastructure servers. AD CS を使用すると、公開キー基盤 (PKI) を構築し、公開キーの暗号化、デジタル証明書、およびデジタル署名機能を組織に提供できます。AD CS allows you to build a public key infrastructure (PKI) and provide public key cryptography, digital certificates, and digital signature capabilities for your organization.

ネットワーク上のコンピューター間の認証にデジタルサーバー証明書を使用すると、証明書によって次のことが実現されます。When you use digital server certificates for authentication between computers on your network, the certificates provide:

  1. 暗号化による機密性Confidentiality through encryption.
  2. デジタル署名による整合性。Integrity through digital signatures.
  3. コンピューターネットワーク上のコンピューター、ユーザー、またはデバイスアカウントに証明書キーを関連付けることによる認証。Authentication by associating certificate keys with computer, user, or device accounts on a computer network.

サーバーの種類Server types

このガイドを使用すると、次の種類のサーバーにサーバー証明書を展開できます。By using this guide, you can deploy server certificates to the following types of servers.

  • リモートアクセスサービスを実行しているサーバー。 DirectAccess または標準の仮想プライベートネットワーク (VPN) サーバーで、 RAS および IAS サーバー グループのメンバーである。Servers that are running the Remote Access service, that are DirectAccess or standard virtual private network (VPN) servers, and that are members of the RAS and IAS Servers group.
  • RAS および IAS サーバー グループのメンバーであるネットワークポリシーサーバー (NPS) サービスを実行しているサーバー。Servers that are running the Network Policy Server (NPS) service that are members of the RAS and IAS Servers group.

証明書の自動登録の利点Advantages of certificate autoenrollment

サーバー証明書の自動登録 (自動登録とも呼ばれます) には、次のような利点があります。Automatic enrollment of server certificates, also called autoenrollment, provides the following advantages.

  • AD CS 証明機関 (CA) は、すべての NPS およびリモートアクセスサーバーにサーバー証明書を自動的に登録します。The AD CS certification authority (CA) automatically enrolls a server certificate to all of your NPS and Remote Access servers.
  • ドメイン内のすべてのコンピューターは、すべてのドメインメンバーコンピューターの信頼されたルート証明機関ストアにインストールされている CA 証明書を自動的に受信します。All computers in the domain automatically receive your CA certificate, which is installed in the Trusted Root Certification Authorities store on every domain member computer. このため、ドメイン内のすべてのコンピューターは、CA によって発行された証明書を信頼します。Because of this, all computers in the domain trust the certificates that are issued by your CA. この信頼により、認証サーバーは、相互に id を証明し、セキュリティで保護された通信を行うことができます。This trust allows your authentication servers to prove their identities to each other and engage in secure communications.
  • グループポリシーの更新以外に、すべてのサーバーを手動で再構成する必要はありません。Other than refreshing Group Policy, the manual reconfiguration of every server is not required.
  • すべてのサーバー証明書には、サーバー認証の目的と、拡張キー使用法 (EKU) の拡張機能でのクライアント認証の目的が含まれています。Every server certificate includes both the Server Authentication purpose and the Client Authentication purpose in Enhanced Key Usage (EKU) extensions.
  • スケーラビリティ。Scalability. このガイドを使用してエンタープライズルート CA を展開した後、エンタープライズの下位 Ca を追加することで公開キー基盤 (PKI) を拡張できます。After deploying your Enterprise Root CA with this guide, you can expand your public key infrastructure (PKI) by adding Enterprise subordinate CAs.
  • 管理の容易さ。Manageability. Ad cs を管理するには、AD CS コンソールを使用するか、Windows PowerShell のコマンドとスクリプトを使用します。You can manage AD CS by using the AD CS console or by using Windows PowerShell commands and scripts.
  • 簡単さ。Simplicity. Active Directory グループアカウントとグループメンバーシップを使用して、サーバー証明書を登録するサーバーを指定します。You specify the servers that enroll server certificates by using Active Directory group accounts and group membership.
  • サーバー証明書を展開する場合、証明書は、このガイドの手順に従って構成したテンプレートに基づいています。When you deploy server certificates, the certificates are based on a template that you configure with the instructions in this guide. つまり、特定の種類のサーバーに対して異なる証明書テンプレートをカスタマイズすることも、発行するすべてのサーバー証明書に同じテンプレートを使用することもできます。This means that you can customize different certificate templates for specific server types, or you can use the same template for all server certificates that you want to issue.

このガイドを使用するための前提条件Prerequisites for using this guide

このガイドでは、Windows Server 2016 で AD CS と Web サーバー (IIS) サーバーの役割を使用してサーバー証明書を展開する方法について説明します。This guide provides instructions on how to deploy server certificates by using AD CS and the Web Server (IIS) server role in Windows Server 2016. このガイドの手順を実行するための前提条件を次に示します。Following are the prerequisites for performing the procedures in this guide.

  • コアネットワークは、Windows Server 2016 コアネットワークガイドを使用して展開する必要があります。または、コアネットワークガイドで提供されているテクノロジがネットワーク上に正しくインストールされ、機能している必要があります。You must deploy a core network using the Windows Server 2016 Core Network Guide, or you must already have the technologies provided in the Core Network Guide installed and functioning correctly on your network. これらのテクノロジには、TCP/IP v4、DHCP、Active Directory Domain Services (AD DS)、DNS、NPS などがあります。These technologies include TCP/IP v4, DHCP, Active Directory Domain Services (AD DS), DNS, and NPS.

    注意

    Windows Server 2016 コアネットワークガイドは、Windows Server 2016 テクニカルライブラリから入手できます。The Windows Server 2016 Core Network Guide is available in the Windows Server 2016 Technical Library. 詳細については、「 コアネットワークガイド」を参照してください。For more information, see Core Network Guide.

  • 展開を実行する前に、このガイドの「計画」セクションを読んで、この展開の準備ができていることを確認する必要があります。You must read the planning section of this guide to ensure that you are prepared for this deployment before you perform the deployment.

  • このガイドの手順は、表示されている順序で実行する必要があります。You must perform the steps in this guide in the order in which they are presented. サーバーを展開する手順を実行せずに CA を展開したり、展開が失敗したりすることはありません。Do not jump ahead and deploy your CA without performing the steps that lead up to deploying the server, or your deployment will fail.

  • ネットワーク上に2台の新しいサーバーを展開する必要があります。1台はエンタープライズルート CA として AD CS をインストールし、もう1台は Web サーバー (IIS) をインストールするサーバーで、CA が証明書失効リスト (CRL) を Web サーバーに発行できるようにするためです。You must be prepared to deploy two new servers on your network - one server upon which you will install AD CS as an Enterprise Root CA, and one server upon which you will install Web Server (IIS) so that your CA can publish the certificate revocation list (CRL) to the Web server.

注意

このガイドでデプロイする Web および AD CS サーバーに静的 IP アドレスを割り当てる準備ができています。また、組織の名前付け規則に従ってコンピューターの名前を指定することもできます。You are prepared to assign a static IP address to the Web and AD CS servers that you deploy with this guide, as well as to name the computers according to your organization naming conventions. さらに、コンピューターをドメインに参加させる必要があります。In addition, you must join the computers to your domain.

このガイドで説明されていないものWhat this guide does not provide

このガイドでは、AD CS を使用して公開キー基盤 (PKI) を設計および展開するための包括的な手順については説明しません。This guide does not provide comprehensive instructions for designing and deploying a public key infrastructure (PKI) by using AD CS. このガイドでは、テクノロジを展開する前に、AD CS のドキュメントと PKI の設計に関するドキュメントを参照することをお勧めします。It is recommended that you review AD CS documentation and PKI design documentation before deploying the technologies in this guide.

テクノロジの概要Technology overviews

AD CS と Web サーバー (IIS) のテクノロジの概要を次に示します。Following are technology overviews for AD CS and Web Server (IIS).

Active Directory 証明書サービスActive Directory Certificate Services

Windows Server 2016 の AD CS は、公開キーテクノロジを採用するソフトウェアセキュリティシステムで使用される x.509 証明書を作成および管理するためのカスタマイズ可能なサービスを提供します。AD CS in Windows Server 2016 provides customizable services for creating and managing the X.509 certificates that are used in software security systems that employ public key technologies. 組織は、AD CS を使用して、個人、デバイス、またはサービスの id を対応する公開キーにバインドすることにより、セキュリティを強化することができます。Organizations can use AD CS to enhance security by binding the identity of a person, device, or service to a corresponding public key. AD CS には、さまざまなスケーラブルな環境で証明書の登録と失効を管理できる機能も含まれています。AD CS also includes features that allow you to manage certificate enrollment and revocation in a variety of scalable environments.

詳細については、「 Active Directory 証明書サービスの概要 」および「 公開キー基盤の設計ガイダンス」を参照してください。For more information, see Active Directory Certificate Services Overview and Public Key Infrastructure Design Guidance.

Web サーバー (IIS)Web Server (IIS)

Windows Server 2016 の Web サーバー (IIS) の役割は、web サイト、サービス、およびアプリケーションを確実にホストするための、セキュリティで保護された、管理しやすい、モジュール型の拡張可能なプラットフォームを提供します。The Web Server (IIS) role in Windows Server 2016 provides a secure, easy-to-manage, modular, and extensible platform for reliably hosting websites, services, and applications. IIS では、インターネット、イントラネットまたはエクストラネット上のユーザーと情報を共有できます。With IIS, you can share information with users on the Internet, an intranet, or an extranet. IIS は、IIS、ASP.NET、FTP サービス、PHP、および Windows Communication Foundation (WCF) を一体化した統合 web プラットフォームです。IIS is a unified web platform that integrates IIS, ASP.NET, FTP services, PHP, and Windows Communication Foundation (WCF).

詳細については、「 Web サーバー (IIS) の概要」を参照してください。For more information, see Web Server (IIS) Overview.