ADCS - エンタープライズCA とスタンドアロンCAの違い

自分

閲覧ありがとうございます。ゆっくりよんでいってください

Active Directory Certificate Services (AD CS) とは？

自分

証明機関です。
何を証明する期間なのかというと、発行された証明書の情報を証明するものと認識していただければ問題ありません。

機能として証明書を発行することも可能です。
用途としてクライアント証明書や、内部アプリケーションへのゲートウェイやプロキシの証明書を発行することがあります。

AD CSって何をするのは、上記に簡単に記載させてもらったので
構築することに選択できる、エンタープライズCAとスタンドアロンCAの違いを説明させてもらいます。

Active Directoryと連携しDomain Serviceと統合された証明機関となります。
そのため、Actice Directoryが構築されており、Domain Serviceへアクセスできることが必須条件になります。
アクセスできることが必須条件なので、電源は落とさずにオンライン状態を維持する必要があります。
エンタープライズCA機能をインストールするには、Domain Admins グループのメンバーになっている必要があります。
メンバ―ではない場合は、Actice Directory ドメインサービス (AD DS)への書き込みアクセス権限が必要になります。
ユーザー証明書や証明書失効リストを AD DSに発行する機能があります。
AD DSに対して証明書を発行するには、エンタープライズ CA機能をインストールしたサーバーが
[Certificate Publishers] グループにメンバーとして参加している必要があります。
グループポリシーを利用することで証明書を自動的に配布することが可能です。
証明書テンプレートにて設定することで、特定の端末やユーザーアカウント、グループに対して
用途に応じた証明書をは賦することが可能となります。
エンタープライズCAで発行する証明書は、証明書テンプレートを利用して証明書を発行します。

エンタープライズCAにて証明書を発行するときに使用する証明書の元になるものです。
どの証明書テンプレートを利用するかを選択し用途に合った動作をする証明書を発行することになります。

資格情報をチェックすることが可能となり、
ユーザーより要求された種類の証明書に対して、資格者情報をチェックして承認することが可能です。

証明書テンプレートをカスタマイズすることもかのうとなり、
カスタマイズすることで証明書を要求しているユーザーに開示を要求する情報量を少なくすることが可能です。

私が以前実際に発行して運用した証明書は以下の通りです。
どちらもグループポリシー (GPO)を活用して自動的に配布を行いました。
1枚ずつ配布するのは、工数が馬鹿にならないので、ぜひGPOを活用してくださいね。

自分

私は、Windows Server 2012 ～ 2016 にて発行したことがあります

エンタープライズCAとは異なり、Actice Directoryと連携する必要もなく、Domain Serviceにアクセスする必要もありません。
考え方としては、完全に独立した証明機関です。
Active Directory Domain Service (AD DS)が存在している場合は、
スタンドアロンCAを構築しオフラインでの信頼されるルートCA として利用することもあります。
そうすることで、エクストラネットやインターネットを介してクライアントに証明書を発行することが可能となります。
証明書をユーザーが要求する時にユーザーの識別情報が必要になります。
そのため、事前にユーザー識別情報を提供し発行する証明書に組み込む必要があります。
ユーザー識別情報は、ローカルコンピューター内のセキュリティアカウントマネージャーデーターべースから自動的に取得されます。
※エンタープライズCAでは、ADDSと連携してユーザー情報を収集し証明書に組み込むためこの処理が必要ありません。
証明書の配布を自動的に実施することが出来ないため、ユーザー自身に実施させる必要があります。
証明書要求が基本的に保留される動作となり、管理者による承認作業が必要となります。
証明書テンプレートの利用ができません。