WindowsOS

ADCS - ユーザー証明書 と デバイス証明書の自動発行

2021年11月29日

ADCS - なぜユーザー証明書を自動配布するの?

自動配布することで、管理者様または利用者様にて証明書を
対象のユーザーアカウントに1つずつ入れていくのは工数が膨れ上がりますよね。

自分
自動的に配布することで、この工数が削減されるので私個人的にはオススメしている方法です。 もちろん証明書の有効期限切れ前に更新処理を自動的に実施させることも可能ですよっ

 

ユーザー や デバイス証明書の自動配布 - 前提条件

Active Directory 証明サービスをエンタープライズCAで立ち上げている必要があります。

エンタープライズCAの構築手順は以下に記載してありますので、
エンタープライズCA or スタンドアロンCA のどちらで作成したか覚えていない方も参照してみて記憶を掘り起こしてください。

ADCS - 証明機関の構築 エンタープライズCA

証明書サービスの構築方法について、インストールから構成までの手順をまとめていますっ参考にして頂けると嬉しいです。

続きを見る

 

ユーザー証明書の自動配布 - 手順

ユーザー証明書を自動的に配布する手順を以下に記載させて頂きます。
どうようの手順で デバイス証明書を自動的に配布することも可能ですのでお試しください。

ユーザー証明書の自動配布 - グループポリシー設定

  1. サーバーマネージャーを起動します。
  2. 画面右上の[ツール]をクリックし、[グループポリシーの管理]をクリックします。
  3. [グループ ポリシー管理エディター]にて[ユーザーの構成]をダブルクリックし、
    [Windows の設定]をダブルクリック、[セキュリティの設定]をダブルクリック、
    [公開キーのポリシー]をクリックして開きます

    パス:[ユーザーの構成] - [Windows の設定] - [セキュリティの設定] - [公開キーのポリシー]
    ※デバイス証明書の場合は、[ユーザーの構成]ではなく[コンピューターの構成]から開いてください。

    開かれた[公開キーのポリシー]内に存在している[証明書サービス クライアント - 自動登録]をダブルクリックします。
    [グループ ポリシー管理エディター]にて[ユーザーの構成]をダブルクリックし、 [Windows の設定]をダブルクリック、[セキュリティの設定]をダブルクリック、 [公開キーのポリシー]をクリックして開きます

  4. [証明書サービス クライアント - 自動登録のプロパティ]画面が開くので以下項目にチェックを入れます。
    その後、 [適用]をクリックしたのち[OK]をクリックします。
    • 有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する
    • 証明書テンプレートを使用する証明書を更新する
      有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する 証明書テンプレートを使用する証明書を更新する

ユーザー証明書の自動配布 - ユーザー証明書のテンプレートを作成

  1. サーバーマネージャーを起動します。
  2. 画面右上の[ツール]をクリックし、[証明機関]をクリックします。
    [証明機関]をクリックします。

  3. 証明機関(certsrv) が立ち上がったことを確認します。
    証明機関(certsrv) が立ち上がったことを確認します。

  4. [証明書テンプレート]を右クリックして、表示されたメニュー内の[管理]をクリックします。
    [証明書テンプレート]を右クリックして、表示されたメニュー内の[管理]をクリック

  5. [証明書テンプレート コンソール]が表示されるので、
    [ユーザー]を右クリックして表示されたメニュー内の[テンプレートの複製]をクリックします。
    [証明書テンプレート コンソール]が表示されるので、 [ユーザー]を右クリックして表示されたメニュー内の[テンプレートの複製]をクリック

  6. [新しいテンプレートのプロパティ]画面の[互換性]タブにて、要件にあった互換設定を入れます。
    [互換性]タブにて、要件にあった互換設定

  7. [新しいテンプレートのプロパティ]画面の[全般]タブにて、以下項目を設定します。
    設定後、[適用]をクリックします。
    • テンプレート表示名:任意
    • テンプレート名:任意
    • 有効期間:任意
    • 更新期間:任意
    • Active Directory の証明書を発行する:チェック
    • Active Directory に重複する証明書がある場合、自動的に再登録しない:チェック
      テンプレート表示名:任意 テンプレート名:任意 有効期間:任意 更新期間:任意 Active Directory の証明書を発行する:チェック Active Directory に重複する証明書がある場合、自動的に再登録しない:チェック

  8. [新しいテンプレートのプロパティ]画面の[セキュリティ]タブにて、[Domain Users]が無ければ追加し
    [自動登録]にチェックを入れ、[適用]をクリックします。
    [セキュリティ]タブにて、[Domain Users]が無ければ追加し [自動登録]にチェックを入れ、[適用]をクリックします。

  9. [新しいテンプレートのプロパティ]画面の[サブジェクト名]タブにて、要件にあった設定を行います。
    設定後、[適用]をクリックし[OK]をクリックします。
    [サブジェクト名]タブにて、要件にあった設定を行います。 設定後、[適用]をクリックし[OK]をクリック

ユーザー証明書の自動配布 - ユーザー証明書 発行

  1. [証明機関(certsrv)]画面にて、[証明書テンプレート]を右クリックし
    [新規作成]をクリック後[発行する証明書テンプレート]をクリックします。
    [証明書テンプレート]を右クリックし [新規作成]をクリック後[発行する証明書テンプレート]をクリック

  2. [証明書テンプレートの選択]画面が表示されるので、作成した証明書テンプレートを選択し[OK]をクリックします。
    ※本手順では[自動登録ユーザー証明書]という名称で作成しています。
    作成した証明書テンプレートを選択し[OK]をクリックします。 ※本手順では[自動登録ユーザー証明書]という名称で作成

  3. 証明書テンプレート一覧に、選択した証明書テンプレートが追加されていることを確認して完了です。
    証明書テンプレートが追加されていることを確認して完了

ユーザー証明書の自動配布 - 配布状況確認手順

  1. サーバーマネージャーを起動します。
  2. 画面右上の[ツール]をクリックし、[Active Directory ユーザーとコンピューター]をクリックします。
  3. 確認したいユーザーアカウントを探し、右クリックして[プロパティ]をクリックします。
  4. 確認したいユーザーアカウントのプロパティ画面にて[公開された証明書]タブをクリックして
    発行した証明書が適用されているか確認します。
    ※発行されるタイミングはグループポリシー (GPO)更新タイミングとなるので
     グループポリシーの更新を実行してから確認してください
     command
gpupdate /force

    [公開された証明書]タブをクリックして 発行した証明書が適用されているか確認します。

 

さいごに・・・

ユーザー証明書 や デバイス証明書 を自動配布したい!といったときに、
まとまった手順が無いことが多かったので、今回まとめてみました。

手順は少ないですが、いろいろな機能を触って初めて展開できる機能なので
少しでも不明な機能があったら、その機能について調べながら作業を進めてくださいね

私のブログ内で情報を出しているものもあるので、一度ブログ内を確認頂ければと思います。

 

 

 

-WindowsOS