サーバー証明書の展開の概要Server Certificate Deployment Overview

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

このトピックは、次のセクションで構成されています。This topic contains the following sections.

サーバー証明書展開コンポーネントServer certificate deployment components

このガイドを使用すると、エンタープライズ ルート証明機関 (CA) として Active Directory 証明書サービス (AD CS) をインストールしてネットワーク ポリシー サーバー (NPS)、ルーティングとリモート アクセス サービス (RRAS)、または NPS および RRAS の両方を実行しているサーバーにサーバー証明書を登録することができます。You can use this guide to install Active Directory Certificate Services (AD CS) as an Enterprise root certification authority (CA) and to enroll server certificates to servers that are running Network Policy Server (NPS), Routing and Remote Access service (RRAS), or both NPS and RRAS.

SDN 証明書ベースの認証を展開すると、サーバーがセキュリティで保護された通信をどのように達成できるように、他のサーバーに自分の身元を証明するためにサーバー証明書を使用する必要があります。If you deploy SDN with certificate-based authentication, servers are required to use a server certificate to prove their identities to other servers so that they achieve secure communications.

次の図は、SDN インフラストラクチャのサーバーにサーバー証明書を展開するために必要なコンポーネントを示しています。The following illustration shows the components that are required to deploy server certificates to servers in your SDN infrastructure.

サーバー証明書の展開の必要なインフラストラクチャ

注意

上の図では、複数のサーバーの表示: DC1、CA1、WEB1、および多くの SDN サーバーです。In the illustration above, multiple servers are depicted: DC1, CA1, WEB1, and many SDN servers. CA1 および WEB1 を展開および構成との DC1 に、このガイドでは、ネットワークに既にインストールするいると仮定の構成手順を説明します。This guide provides instructions for deploying and configuring CA1 and WEB1, and for configuring DC1, which this guide assumes you have already installed on your network. Active Directory ドメインをすでにインストールしない場合、これを行うを使用して、 コア ネットワーク ガイド Windows Server 2016 用です。If you have not already installed your Active Directory domain, you can do so by using the Core Network Guide for Windows Server 2016.

上の図に示すように各項目の詳細については、次を参照してください。For more information on each item depicted in the illustration above, see the following:

CA1 AD CS サーバー役割を実行しています。CA1 running the AD CS server role

このシナリオでは、エンタープライズ ルート証明機関 (CA) と、発行元 CA ではまたです。In this scenario, the Enterprise Root certification authority (CA) is also an issuing CA. CA は、証明書を登録する適切なセキュリティ権限を持つサーバー コンピューターに証明書を発行します。The CA issues certificates to server computers that have the correct security permissions to enroll a certificate. Active Directory 証明書サービス (AD CS) は、CA1 にインストールされます。Active Directory Certificate Services (AD CS) is installed on CA1.

大規模なネットワークまたはセキュリティに関する注意事項が根拠は、ルート CA と発行元 CA の役割を分離し、ca は下位の Ca を展開できます。For larger networks or where security concerns provide justification, you can separate the roles of root CA and issuing CA, and deploy subordinate CAs that are issuing CAs.

最も安全な展開では、オフラインであり、物理的に安全なエンタープライズ ルート CA が少なくなります。In the most secure deployments, the Enterprise Root CA is taken offline and physically secured.

CAPolicy.infCAPolicy.inf

AD CS をインストールする前に、固有の設定で、展開の CAPolicy.inf ファイルを構成します。Before you install AD CS, you configure the CAPolicy.inf file with specific settings for your deployment.

コピー、 RAS および IAS サーバー 証明書テンプレートCopy of the RAS and IAS servers certificate template

1 つのコピーを作成するサーバー証明書を展開するときに、 RAS および IAS サーバー 証明書のテンプレートと、このガイドで、要件と表示される指示に従って、テンプレートを構成します。When you deploy server certificates, you make one copy of the RAS and IAS servers certificate template and then configure the template according to your requirements and the instructions in this guide.

元のテンプレートではなく、テンプレートのコピーを利用するは、考えられる将来使用するため、元のテンプレートの構成が保持されるようにします。You utilize a copy of the template rather than the original template so that the configuration of the original template is preserved for possible future use. コピーを構成する、 RAS および IAS サーバー テンプレート Active Directory ユーザーと指定したコンピューターのグループに作成するため、CA サーバーの証明書を発行します。You configure the copy of the RAS and IAS servers template so that the CA can create server certificates that it issues to the groups in Active Directory Users and Computers that you specify.

CA1 に追加の構成Additional CA1 configuration

CA は、識別の証拠としてそれらに提示される証明書が有効な証明書であることを確認し、失効していないコンピューターを確認する必要があります証明書失効リスト (CRL) を公開します。The CA publishes a certificate revocation list (CRL) that computers must check to ensure that certificates that are presented to them as proof of identity are valid certificates and have not been revoked. コンピューターは、認証プロセス中に、CRL を検索する場所を知ることは、CRL の正しい場所を CA を構成する必要があります。You must configure your CA with the correct location of the CRL so that computers know where to look for the CRL during the authentication process.

WEB1 Web サービス (IIS) サーバーの役割を実行しています。WEB1 running the Web Services (IIS) server role

WEB1 で、Web サーバー (IIS) サーバーの役割を実行しているコンピューターで CRL と AIA の場所として使用するため、Windows エクスプ ローラーでフォルダーを作成する必要があります。On the computer that is running the Web Server (IIS) server role, WEB1, you must create a folder in Windows Explorer for use as the location for the CRL and AIA.

CRL と AIA の仮想ディレクトリVirtual directory for the CRL and AIA

Windows エクスプ ローラーでフォルダーを作成した後は、インターネット インフォメーション サービス (IIS) マネージャーだけでなく、仮想ディレクトリのアクセス制御リストを構成するコンピューターを許可するようが公開された後、AIA と CRL にアクセスする仮想ディレクトリとしてフォルダーを構成する必要があります。After you create a folder in Windows Explorer, you must configure the folder as a virtual directory in Internet Information Services (IIS) Manager, as well as configuring the access control list for the virtual directory to allow computers to access the AIA and CRL after they are published there.

DC1 AD DS および DNS サーバーの役割を実行しています。DC1 running the AD DS and DNS server roles

DC1 は、ドメイン コント ローラーで、ネットワーク上の DNS サーバーです。DC1 is the domain controller and DNS server on your network.

ポリシーの既定のドメイン ポリシーをグループ化します。Group Policy default domain policy

CA で証明書テンプレートを構成した後は、証明書は、NPS と RAS サーバーに登録できるように、グループ ポリシーの既定のドメイン ポリシーを構成できます。After you configure the certificate template on the CA, you can configure the default domain policy in Group Policy so that certificates are autoenrolled to NPS and RAS servers. グループ ポリシーは、DC1 のサーバーで AD DS で構成されます。Group Policy is configured in AD DS on the server DC1.

DNS エイリアス (CNAME) リソース レコードDNS alias (CNAME) resource record

その他のコンピュータが、サーバーだけでなく、AIA と、サーバーに格納されている CRL を検出できることを確認する Web サーバーのエイリアス (CNAME) リソース レコードを作成する必要があります。You must create an alias (CNAME) resource record for the Web server to ensure that other computers can find the server, as well as the AIA and the CRL that are stored on the server. Web および FTP サイトをホストしているなどの他の目的の Web サーバーを使用できるように、柔軟性がさらに、提供エイリアス CNAME リソース レコードを使用します。In addition, using an alias CNAME resource record provides flexibility so that you can use the Web server for other purposes, such as hosting Web and FTP sites.

NPS1 ネットワーク ポリシーとアクセス サービス サーバー ロールのネットワーク ポリシー サーバーの役割サービスを実行します。NPS1 running the Network Policy Server role service of the Network Policy and Access Services server role

NPS は、Windows Server 2016 コアネットワークガイドのタスクを実行するときにインストールされるため、このガイドのタスクを実行する前に、ネットワークに1つ以上の NPSs がインストールされている必要があります。The NPS is installed when you perform the tasks in the Windows Server 2016 Core Network Guide, so before you perform the tasks in this guide, you should already have one or more NPSs installed on your network.

グループ ポリシーが適用され、サーバーに証明書の登録Group Policy applied and certificate enrolled to servers

証明書テンプレートおよび自動登録を構成した後は、すべてのターゲット サーバーのグループ ポリシーを更新できます。After you have configured the certificate template and autoenrollment, you can refresh Group Policy on all target servers. この時点では、サーバーは、CA1 からサーバー証明書を登録します。At this time, the servers enroll the server certificate from CA1.

サーバー証明書の展開プロセスの概要Server certificate deployment process overview

注意

次の手順を実行する方法の詳細については、セクションで説明します。 サーバー証明書の展開します。The details of how to perform these steps are provided in the section Server Certificate Deployment.

サーバー証明書の登録を構成するプロセスは、これらの各段階で発生します。The process of configuring server certificate enrollment occurs in these stages:

  1. WEB1 で、Web サーバー (IIS) の役割をインストールします。On WEB1, install the Web Server (IIS) role.

  2. DC1 で、WEB1、Web サーバーのエイリアス (CNAME) レコードを作成します。On DC1, create an alias (CNAME) record for your Web server, WEB1.

  3. CA、CRL をホストし、CRL を公開し、エンタープライズ ルート CA 証明書を新しい仮想ディレクトリにコピーするように Web サーバーを構成します。Configure your Web server to host the CRL from the CA, then publish the CRL and copy the Enterprise Root CA certificate into the new virtual directory.

  4. AD CS のインストールを計画しているコンピューターで、コンピュータに静的 IP アドレスを割り当てます、コンピューターの名前、コンピューターをドメインに参加し、Domain Admins と Enterprise Admins グループのメンバーであるユーザー アカウントでコンピューターにログオンします。On the computer where you are planning to install AD CS, assign the computer a static IP address, rename the computer, join the computer to the domain, and then log on to the computer with a user account that is a member of the Domain Admins and Enterprise Admins groups.

  5. AD CS のインストールを計画しているコンピューターで、展開に固有の設定で CAPolicy.inf ファイルを構成します。On the computer where you are planning to install AD CS, configure the CAPolicy.inf file with settings that are specific to your deployment.

  6. AD CS サーバー役割をインストールし、CA の追加の構成を実行します。Install the AD CS server role and perform additional configuration of the CA.

  7. CA1 から CRL と CA 証明書を WEB1 Web サーバー上の共有にコピーします。Copy the CRL and CA certificate from CA1 to the share on the Web server WEB1.

  8. Ca で、RAS および IAS サーバー証明書テンプレートのコピーを構成します。On the CA, configure a copy of the RAS and IAS Servers certificate template. CA は、CA が証明書を発行する前に、サーバー証明書テンプレートを構成する必要がありますので、証明書テンプレートに基づいて証明書を発行します。The CA issues certificates based on a certificate template, so you must configure the template for the server certificate before the CA can issue a certificate.

  9. グループ ポリシーでは、サーバー証明書の自動登録を構成します。Configure server certificate autoenrollment in Group Policy. 自動登録を構成するときに、自動的に Active Directory グループのメンバーシップを持つ指定したすべてのサーバーは、各サーバー上のグループ ポリシーが更新されたときにサーバー証明書を受信します。When you configure autoenrollment, all servers that you have specified with Active Directory group memberships automatically receive a server certificate when Group Policy on each server is refreshed. 後でより多くのサーバーを追加する場合は自動的に付けサーバーの証明書すぎます。If you add more servers later, they will automatically receive a server certificate, too.

  10. サーバーのグループ ポリシーを更新します。Refresh Group Policy on servers. グループ ポリシーが更新されたときに、サーバーは、前の手順で構成されているテンプレートに基づくサーバー証明書を受信します。When Group Policy is refreshed, the servers receive the server certificate, which is based on the template that you configured in the previous step. この証明書は、認証プロセス中にクライアント コンピューターに身元を証明するために、サーバーとその他のサーバーで使用されます。This certificate is used by the server to prove its identity to client computers and other servers during the authentication process.

    注意

    すべてのドメイン メンバー コンピューターは、自動登録の構成を使用せず、エンタープライズ ルート CA の証明書を自動的に受け取ります。All domain member computers automatically receive the Enterprise Root CA's certificate without the configuration of autoenrollment. この証明書は、サーバー証明書を構成し、自動登録を使用して、配布よりも異なります。This certificate is different than the server certificate that you configure and distribute by using autoenrollment. この CA によって発行される証明書は信頼できるように、すべてのドメイン メンバー コンピューターの信頼されたルート証明機関の証明書ストアに CA の証明書が自動的にインストールします。The CA's certificate is automatically installed in the Trusted Root Certification Authorities certificate store for all domain member computers so that they will trust certificates that are issued by this CA.

  11. すべてのサーバーが有効なサーバー証明書を登録したことを確認します。Verify that all servers have enrolled a valid server certificate.