サーバー証明書の展開の計画Server Certificate Deployment Planning

適用先:Windows Server (半期チャネル)、Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

サーバー証明書を展開する前に、次の項目を計画する必要があります。Before you deploy server certificates, you must plan the following items:

基本的なサーバー構成を計画します。Plan basic server configuration

証明機関と Web サーバーとして使用する予定のコンピューターに Windows Server 2016 をインストールした後、コンピューターの名前を変更を割り当てると、ローカル コンピューターの静的 IP アドレスを構成してください。After you install Windows Server 2016 on the computers that you are planning to use as your certification authority and Web server, you must rename the computer and assign and configure a static IP address for the local computer.

詳細については、Windows Server 2016 を参照してください。 コア ネットワーク ガイドします。For more information, see the Windows Server 2016 Core Network Guide.

ドメイン アクセスを計画します。Plan domain access

ドメインにログオンするには、コンピューターがドメイン メンバー コンピューターをする必要があり、ログオン試行の前に AD DS でユーザー アカウントを作成する必要があります。To log on to the domain, the computer must be a domain member computer and the user account must be created in AD DS before the logon attempt. さらに、このガイドのほとんどの手順では、ユーザー アカウントが Active Directory ユーザーとコンピューターの Enterprise Admins または Domain Admins グループのメンバーを適切なグループ メンバーシップを持つアカウントを使用して CA にログオンする必要がありますのでが必要です。In addition, most procedures in this guide require that the user account is a member of the Enterprise Admins or Domain Admins groups in Active Directory Users and Computers, so you must log on to the CA with an account that has the appropriate group membership.

詳細については、Windows Server 2016 を参照してください。 コア ネットワーク ガイドします。For more information, see the Windows Server 2016 Core Network Guide.

Web サーバー上の仮想ディレクトリの名前と場所を計画します。Plan the location and name of the virtual directory on your Web server

CRL と他のコンピューターに CA 証明書にアクセスを提供するには、Web サーバーで、仮想ディレクトリでこれらのアイテムを格納する必要があります。To provide access to the CRL and the CA certificate to other computers, you must store these items in a virtual directory on your Web server. このガイドでは、仮想ディレクトリを Web サーバー WEB1 にあります。In this guide, the virtual directory is located on the Web server WEB1. このフォルダーは「c:」ドライブに、"pki"の名前はThis folder is on the "C:" drive and is named "pki." 展開に適切なフォルダーの場所から Web サーバーを仮想ディレクトリを検索できます。You can locate your virtual directory on your Web server at any folder location that is appropriate for your deployment.

Web サーバーの DNS エイリアス (CNAME) レコードを計画します。Plan a DNS alias (CNAME) record for your Web server

エイリアス (CNAME) リソース レコードは正規名リソース レコードと呼ばれることもあります。Alias (CNAME) resource records are also sometimes called canonical name resource records. これらのレコードと容易をファイル転送プロトコル (FTP) サーバーと同じコンピューター上の Web サーバーの両方にこのような管理操作を行うには、1 つのホストを指す複数の名前を使用できます。With these records, you can use more than one name to point to a single host, making it easy to do such things as host both a File Transfer Protocol (FTP) server and a Web server on the same computer. たとえば、よく知られたサーバー名 (ftp、www など) はこれらのサービスをホストしている、ドメイン ネーム システム (DNS) ホスト名に WEB1 など、サーバー コンピューターにマップするエイリアス (CNAME) リソース レコードを使用して登録されます。For example, the well-known server names (ftp, www) are registered using alias (CNAME) resource records that map to the Domain Name System (DNS) host name, such as WEB1, for the server computer that hosts these services.

このガイドでは、証明機関 (CA) の証明書失効リスト (CRL) をホストする Web サーバーを構成するための手順を提供します。This guide provides instructions for configuring your Web server to host the certificate revocation list (CRL) for your certification authority (CA). FTP または Web サイトをホストするなどの他の目的の Web サーバーを使用することも、ためには、Web サーバーの DNS でエイリアス リソース レコードを作成することをお勧めします。Because you might also want to use your Web server for other purposes, such as to host an FTP or Web site, it's a good idea to create an alias resource record in DNS for your Web server. このガイドでは、CNAME レコードには、"pki"はという名前が、展開に適切な名前を選択することができます。In this guide, the CNAME record is named "pki," but you can choose a name that is appropriate for your deployment.

CAPolicy.inf の構成を計画します。Plan configuration of CAPolicy.inf

AD CS をインストールする前に、情報が正しいことを含む CA の CAPolicy.inf を構成する必要があります。Before you install AD CS, you must configure CAPolicy.inf on the CA with information that is correct for your deployment. CAPolicy.inf ファイルには、次の情報が含まれています。A CAPolicy.inf file contains the following information:

[Version]
Signature="$Windows NT$"
[PolicyStatementExtension]
Policies=InternalPolicy
[InternalPolicy]
OID=1.2.3.4.1455.67.89.5
Notice="Legal Policy Statement"
URL=https://pki.corp.contoso.com/pki/cps.txt
[Certsrv_Server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=weeks
CRLPeriodUnits=1
LoadDefaultTemplates=0
AlternateSignatureAlgorithm=1

このファイルの次の項目を計画する必要があります。You must plan the following items for this file:

  • URLURL. Capolicy.inf ファイルの例では、という URL 値が使用されてい https://pki.corp.contoso.com/pki/cps.txt ます。The example CAPolicy.inf file has a URL value of https://pki.corp.contoso.com/pki/cps.txt. これは、このガイド内の Web サーバーが WEB1 の名前は、pki の DNS の CNAME リソース レコードがあるためです。This is because the Web server in this guide is named WEB1 and has a DNS CNAME resource record of pki. Web サーバーは、corp.contoso.com ドメインに参加します。The Web server is also joined to the corp.contoso.com domain. さらに、仮想ディレクトリにある証明書失効リストが格納されている"pki"という名前の Web サーバー。In addition, there is a virtual directory on the Web server named "pki" where the certificate revocation list is stored. ドメイン内、Web サーバー上の仮想ディレクトリには、CAPolicy.inf ファイルのポイントで URL の指定した値を確認します。Ensure that the value that you provide for URL in your CAPolicy.inf file points to a virtual directory on your Web server in your domain.

  • RenewalKeyLength します。RenewalKeyLength. Windows Server 2012 で AD CS の既定の更新のキーの長さは 2048 です。The default renewal key length for AD CS in Windows Server 2012 is 2048. 選択したキーの長さを使用するアプリケーションとの互換性を提供しながらできるだけ長くする必要があります。The key length that you select should be as long as possible while still providing compatibility with the applications that you intend to use.

  • RenewalValidityPeriodUnits します。RenewalValidityPeriodUnits. CAPolicy.inf ファイルの例では、5 年の RenewalValidityPeriodUnits 値があります。The example CAPolicy.inf file has a RenewalValidityPeriodUnits value of 5 years. これは、CA の想定される存続期間が約 10 年であるためです。This is because the expected lifespan of the CA is around ten years. RenewalValidityPeriodUnits の値には、CA または登録できるようにする対象となる年間の最大数の全体的な有効期間を反映する必要があります。The value of RenewalValidityPeriodUnits should reflect the overall validity period of the CA or the highest number of years for which you want to provide enrollment.

  • CRLPeriodUnits します。CRLPeriodUnits. CAPolicy.inf ファイルの例では、1 の CRLPeriodUnits 値があります。The example CAPolicy.inf file has a CRLPeriodUnits value of 1. これは、このガイドで証明書失効リストの例の更新間隔が 1 週間であるためです。This is because the example refresh interval for the certificate revocation list in this guide is 1 week. この設定で指定した間隔の値には、CRL を格納する Web サーバーの仮想ディレクトリを CA の CRL を発行し、認証プロセスであるコンピュータへのアクセス権を提供します。At the interval value that you specify with this setting, you must publish the CRL on the CA to the Web server virtual directory where you store the CRL and provide access to it for computers that are in the authentication process.

  • AlternateSignatureAlgorithm します。AlternateSignatureAlgorithm. この CAPolicy.inf では、別の署名形式を実装することで、強化されたセキュリティ メカニズムを実装します。This CAPolicy.inf implements an improved security mechanism by implementing alternate signature formats. この CA から証明書を必要とする Windows XP クライアントがある場合は、この設定を実装しないでください。You should not implement this setting if you still have Windows XP clients that require certificates from this CA.

すべての下位 Ca を後で、公開キー インフラストラクチャに追加する予定がないし、すべての下位 Ca を追加できないようにする場合は、値 0 は、CAPolicy.inf ファイルに PathLength キーを追加できます。If you do not plan on adding any subordinate CAs to your public key infrastructure at a later time, and if you want to prevent the addition of any subordinate CAs, you can add the PathLength key to your CAPolicy.inf file with a value of 0. このキーを追加するには、コピーして、次のコードをファイルに貼り付けます。To add this key, copy and paste the following code into your file:

[BasicConstraintsExtension]
PathLength=0
Critical=Yes

重要

そのための特定の理由がない限り、CAPolicy.inf ファイルにその他の設定を変更することは推奨されません。It is not recommended that you change any other settings in the CAPolicy.inf file unless you have a specific reason for doing so.

CA1 で CDP および AIA 拡張機能の構成を計画します。Plan configuration of the CDP and AIA extensions on CA1

CA1 で証明書失効リスト (CRL) 配布ポイント (CDP) および機関情報アクセス (AIA) の設定を構成する場合は、Web サーバーとドメイン名の名前が必要です。When you configure the Certificate Revocation List (CRL) Distribution Point (CDP) and the Authority Information Access (AIA) settings on CA1, you need the name of your Web server and your domain name. 証明書失効リスト (CRL) および証明機関の証明書が格納されている Web サーバーで作成した仮想ディレクトリの名前も必要です。You also need the name of the virtual directory that you create on your Web server where the certificate revocation list (CRL) and the certification authority certificate are stored.

ここでの展開時に入力する必要があります CDP の場所には、形式があります。The CDP location that you must enter during this deployment step has the format:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl.

たとえば、WEB1 という名前の Web サーバーは、DNS、Web サーバーの CNAME レコード エイリアスは"pki"場合は、ドメインが corp.contoso.com の場合、および仮想ディレクトリの名前は pki、CDP の場所は。For example, if your Web server is named WEB1 and your DNS alias CNAME record for the Web server is "pki," your domain is corp.contoso.com, and your virtual directory is named pki, the CDP location is:

http:\/\/pki.corp.contoso.com\/pki\/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

入力する必要があります AIA の場所には、形式があります。The AIA location that you must enter has the format:

http:\/\/*DNSAlias\(CNAME\)RecordName*.*Domain*.com\/*VirtualDirectoryName*\/<ServerDNSName>\_<CaName><CertificateName>.crt.

たとえば、WEB1 という名前の Web サーバーは、DNS、Web サーバーの CNAME レコード エイリアスは"pki"場合は、ドメインが corp.contoso.com の場合、および仮想ディレクトリの名前は pki、AIA の場所は。For example, if your Web server is named WEB1 and your DNS alias CNAME record for the Web server is "pki," your domain is corp.contoso.com, and your virtual directory is named pki, the AIA location is:

http:\/\/pki.corp.contoso.com\/pki\/<ServerDNSName>\_<CaName><CertificateName>.crt

CA と Web サーバーの間でコピー操作を計画します。Plan the copy operation between the CA and the Web server

CRL と CA 証明書を発行 CA から Web サーバーの仮想ディレクトリを CA の CDP および AIA の場所を構成した後は、certutil-crl コマンドを実行できます。To publish the CRL and CA certificate from the CA to the Web server virtual directory, you can run the certutil -crl command after you configure the CDP and AIA locations on the CA. [CA プロパティによって正しいパスを構成するよう 拡張 ] タブのこのガイドの手順に従って、このコマンドを実行する前にします。Ensure that you configure the correct paths on the CA Properties Extensions tab before you run this command using the instructions in this guide. さらに、エンタープライズ CA 証明書を Web サーバーにコピーする必要があります Web サーバーに仮想ディレクトリを作成して共有フォルダーとしてフォルダーを構成します。In addition, to copy the Enterprise CA certificate to the Web server, you must have already created the virtual directory on the Web server and configured the folder as a shared folder.

CA でサーバー証明書テンプレートの構成を計画します。Plan the configuration of the server certificate template on the CA

自動登録サーバーの証明書を展開するには、という名前の証明書テンプレートをコピーする必要があります RAS および IAS サーバー します。To deploy autoenrolled server certificates, you must copy the certificate template named RAS and IAS Server. 既定では、このコピーの名前は コピーの RAS および IAS サーバー します。By default, this copy is named Copy of RAS and IAS Server. このテンプレートのコピーの名前を変更する場合は、この展開の手順で使用する名前を計画します。If you want to rename this template copy, plan the name that you want to use during this deployment step.

注意

最後の 3 つの展開ガイドのセクションでこのサーバーの証明書自動登録を構成、サーバーでは、グループ ポリシーを更新して、サーバーで CA から有効なサーバー証明書が受信したことを確認するには、追加の計画手順は不要です。The last three deployment sections in this guide - which allow you to configure server certificate autoenrollment, refresh Group Policy on servers, and verify that the servers have received a valid server certificate from the CA - do not require additional planning steps.