Active Directory 証明書サービスのインストールと初期設定 | ADCS

最近は電子署名が普及してきています。日本では、必要以上に自分の証明書を用いて署名しなければならないという風潮がありますが、郷に入っては郷に従えということで、OneSpan Signという電子署名ソリューションを用いた個人証明書を検証するため、Active Directory証明書サービス (ADCS) をインストールしようと思います。

ADCSはしばしばエンタープライズ組織の公開鍵基盤 (PKI) で利用されます。ADと連携することで証明書、例えばユーザ証明書やコンピュータ証明書の自動発行・更新が可能となり、PKIの運用が本当に効率化できます。もちろん、電子署名用の証明書を発行・管理することにも利用できます。

本記事では、ADCSのインストール手順を記載します。

目次[非表示]

• 1.ADCSのインストール
• 2.ADCSの初期設定
• 3.おわりに

ADCSのインストール

ADCSをインストールする前にADをインストール済みであることが前提となります。

1. サーバマネージャを起動し、右上の管「管理」から「役割と機能の追加」を選択します。
   
   
   
   
   
2. ウィザードが起動します。左ペインで「開始する前に」が選択されている場合は「次へ」ボタンをクリックします。
3. 「インストールの種類の選択」では、「役割ベースまたは機能ベースのインストール」が選択されていることを確認し、「次へ」ボタンをクリックします。
   
   
   
   
   
4. 「対象サーバーの選択」では、任意のサーバを選択して「次へ」ボタンをクリックします。選択したサーバにADCSがインストールされます。
   
   
   
   
   過去に、ADサーバと同じサーバにADCSサービスをインストールするケースがありました。AD自体に特権管理ソフトを導入し、不特定の人からのアクセスを制限することで証明書もしっかり管理できるという考え方で運用されていました。もちろん、別サーバとして証明書とADの管理者を分けるやり方もあります。証明書をブラウザ経由で発行させる機能がありますので、その機能をどのように活用・管理するかでサーバの分割も1案となります。
   
   
5. 「サーバーの役割の選択」では、「Active Directory証明書サービス」をチェックします。
   
   
   
   
   チェックする際、ADCSに関連する管理機能をインストールするかが尋ねられます。「機能の追加」ボタンをクリックします。
   
   
   
   
   チェックされていることを確認して「次へ」ボタンをクリックします。
   
   
   
   
   
6. 「機能の選択」では、そのまま何も変更せず、「次へ」ボタンをクリックします。
   
   
   
   
   
7. 「Active Directory証明書サービス」では、機能概要が表示されます。IPSec、NAP、EFSなどに利用されることが記載されています。注意事項として、Certificate Authority (CA) をインストール後はコンピュータ名を変更することができなくなります。機能概要を確認後、「次へ」ボタンをクリックします。
   
   
   
   
   
8. 「役割サービスの選択」では、インストールするADCSの役割を選択します。証明書を発行するだけであればデフォルトの証明機関 (Certificate Authority) のみがチェックされていれば問題ありません。
   上述したWebブラウザ経由での証明書の発行については別途記事を設けたいと思います。証明機関のみがチェックされていることを確認して、「次へ」ボタンをクリックします。
   
   
   
   
   
9. 以上で、インストール設定は完了となります。最後に「インストールオプションの確認」で設定内容を確認し、「インストール」ボタンをクリックします。
   
   
   
   
   
10. インストールの完了を確認して、「クローズ」ボタンをクリックします。
    
    
    

ADCSの初期設定

続いて、インストール後の初期設定を行います。

1. サーバマネージャの右上にある管理メニューの左に、黄色アイコンの「！」マークが表示されていることを確認します。
   
   
   
   
   
2. アイコンをクリックし、表示されたリンク「対象サーバーにActive Directory証明書サービスを構成する」をクリックします。
   
   
   
   
   
3. 「資格情報」では、役割サービスを設定するために資格情報を指定します。ここでは、現在インストール作業を行っているADの管理ユーザが指定されています。「次へ」ボタンをクリックします。
   
   
   
   
   
4. 「役割サービス」では、インストール時に選択した「証明機関」をクリックします。「証明機関」を選択する際、「次へ」ボタンが有効になるまで少し時間を要します。「次へ」ボタンをクリックします。
   
   
   
   
   
5. 「セットアップの種類」では、CAの種類を選択します。エンタープライズCAが選択されていることを確認し、「次へ」ボタンをクリックします。
   ※エンタープライズCAではCAの階層化を行い、1つのルートCAと複数の下位CAを配置することが想定されます。多くの企業では最大でも3階層（ルートCA、中間CA、発行CA）ぐらいまでにすることが多いです。
   
   
   
   
   
6. 「CAの種類」では、証明機関の位置付けを指定します。ルートCAは他のCAとは依存関係のない証明機関です。下位CAは他のルートCAから許可された権限に基づき動作可能な証明機関です。ルートCAを選択し、「次へ」ボタンをクリックします。
   
   
   
   
   
7. 「秘密キー」では、「新しい秘密キーを作成する」を選択します。「次へ」ボタンをクリックします。
   
   
   
   
   
8. 「CAの暗号化」では、秘密キーの暗号強度を設定します。キー長は2048ビット、ハッシュアルゴリズムは少なくともSHA256を選択することを推奨します。「次へ」ボタンをクリックします。
   
   
   
   
   
9. 「CAの名前」では、証明書の内容を指定します。初期状態では、共通名（コモンネーム；CN）は「（ドメイン名）-（サーバ名）-CA」となっています。このCAから発行された証明書を確認する際、どのCAから発行されたかが分かりやすい方がよいので、必要に応じて、共通名をわかりやすい名前に変更（例：XXX Corporation Root CA）し、「次へ」ボタンをクリックします。
   
   
   
   
   
10. 「有効期間」では、証明書の有効期間を指定します。ここで設定した有効期限より長い証明書の作成はできません。デフォルトでは5年間となっています。有効期限の長さには一長一短ありますが、頻繁なルート証明書の更新を避けるために、10年または20年などと長くしておくのがよいと思います。有効期間を設定し、「次へ」ボタンをクリックします。
    ※一般的に発行する証明書（サーバ証明書やコンピュータ証明書）はたいてい有効期間は1年とすることが多いため、5年で設定しても問題ないのですが、問題はルート証明書の更新運用でしょうかね。
    
    
    
    
    
11. 「CAデータベース」ではデータベースの配置場所を指定します。データベースには証明書情報やログが格納されます。デフォルトのままとし「次へ」ボタンをクリックします。
    
    
    
    
    
12. 確認画面ではこれまでに指定した設定に誤りがないか確認します。この設定で問題なければ、「構成」ボタンをクリックします。
    
    
    
    
    
13. 以下の完了画面が表示されたら、「閉じる」ボタンをクリックします。これで初期設定は完了です。証明書の発行ができるようになりました。
    
    
    

おわりに

今回は、ADCSのインストールと初期設定を行い、証明書の発行ができる環境を構築しました。実際にCAサーバを利用するには、自動発行（例：ユーザ証明書やコンピュータ証明書）やWeb登録（例：サーバ証明書）機能を用いて運用を行うことが多いと思います。その設定方法については別記事で説明したいと思います。