ADCS - 証明機関の構築 エンタープライズCA

証明書サービスの構築方法について、インストールから構成までの手順をまとめていますっ
参考にして頂けると嬉しいです。

エンタープライズCAとスタンドアロンCAの違いは以下に記載しています。

前提条件

1. Active Directory Domain Service (AD DS)と通信出来ること
   
   
2. 証明書サービスである Active Directory Certificate Services (AD CS)を構成するサーバーは
   ドメインに参加していること
   
   
3. AD CSを構成するサーバーは、Domain Adminsのメンバーであること
   または、Active Directory Domain Service (AD ドメインサービス)に対して書き込み権限があること

AD CS [エンタープライズCA] - 導入手順

導入手順を2章に分けて記載します。

AD CS [エンタープライズCA] - インストール手順

1. サーバーマネージャーを起動します。
2. 画面右上の[管理]をクリックし、[役割と機能の追加]をクリックします。
   
   
3. [役割と機能の追加ウィザード]が表示されたことを確認し、
   [開始する前に]画面にて[次へ]をクリックします。
   
   
   
4. [インストールの種類の選択]画面にて[役割ベースまたは機能ベースのインストール]を
   選択した状態で[次へ]をクリックします。
   
   
   
5. [対象サーバーの選択]画面にて[サーバープールからサーバーを選択]が選択された状況で、
   画面下部内の一覧から[AD CSをインストールするサーバー]を選択して[次へ]をクリックします。
   
   
   
6. [サーバーの役割の選択]画面にて[Active Directory 証明書サービス]をクリックします。
   
   
   
7. [役割と機能の追加ウィザード]が新規ポップアップで表示されるので、[機能の追加]をクリックします。
   ※Active Directory  証明書サービスを利用するために必要な機能のインストールを許可するためです。
   
   
   
8. [サーバーの役割の選択]画面に戻るので、[Active Directory 証明書サービス]にチェックが入っていることを
   確認したうえで[次へ]をクリックします。
   
   
   
9. [機能の選択]画面にて[次へ]をクリックします。
   
   
   
10. [Active Directory 証明書サービス]画面にて、注意事項等を読み[次へ]をクリックします。
    
    
    
11. [役割サービスの選択]にて 必要に応じた項目をチェックします。
    ※本手順では、証明書の発行や管理を行いたいため[証明機関]をクリックしています。
    
    
    
12. [インストール オプションの確認]画面にて、
    インストールする内容が一覧表示されるので内容を確認して、[インストール]をクリックします。
    ※[必要に応じて対象サーバーを自動的に再起動する]には、状況に応じてチェックを入れてください。
    

Azure 環境下やAWS 環境下では、インストール エラーとなることがあります。
　 エラー時は、対処法を各サービスで確認し対応してください。

AD CS [エンタープライズCA] - インストール構成

1. サーバーマネージャーを起動します。
   画面右上の[管理]をクリックし、旗アイコンに黄色いビックリマークが表示されているのでクリックします。
   
   
   
2. [展開後構成]という欄の[対象サーバーにActive Directory 証明書サービスを構成する]が表示されています。
   リンクになっているので、クリックします。
   
   
   
3. [資格情報]画面にて、証明書サービスを構成する際に必要になるアカウント情報を入力し[次へ]をクリックします。
   ※本手順書では、[Administrator]を入力しています。
   
   
   
4. [構成する役割サービスの選択]にて、必要な役割サービスを選択し[次へ]をクリックします。
   
   
   
5. [CA のセットアップの種類を選択してください]画面にて[エンタープライズ CA]を選択し
   [次へ]をクリックします。
   
   
   
6. [CAの種類を選択してください]画面にて、環境に応じて[ルート CA]か[下位 CA]を選択します。
   ※本環境は、他CAが存在しないため[ルート CA]を選択しています。
   
   
   
7. [秘密キーの種類を指定してください]画面にて、必要に応じたキーの種類を選択します。
   ※本環境ではクライアントに証明書を発行するため、[新しい秘密キーを生成する]を選択しています。
   
   
   
8. [暗号化オプションを指定してください]画面にて、必要に応じた暗号化プロパイダーを選択します。
   特に要望が無い場合は以下設定で問題ありません。　設定後、[次へ]をクリックします。
   • 暗号化プロバイダーの選択：RSA#Microsoft Software Key Storage Provider
   • キー長：2048
   • ハッシュ アルゴリズム：SHA256
   • CAが秘密キーにアクセスする時に、管理者による操作を許可する：チェックを入れる
     
9. [CAの名前を指定してください]画面にて、必要に応じて以下設定を行います。
   基本的には規定値で問題ありません。　設定後、[次へ]をクリックします。
   • このCAの共通名：指定がある場合は任意の名称に変更可能です。
   • 識別名のサフィックス：必要に応じて変更ください。
   • 識別名のプレビュー：上記設定によって表示内容が変更されるため問題ないことを確認してください。
     
10. [有効期限を指定してください]画面にて、発行する証明書の最大有効期限を変更することが可能です。
    構築する環境の要望に応じて変更し[次へ]をクリックします。
    
    
    
11. [データベースの場所を指定してください]画面にて、
    証明書データベースの場所とログの場所を指定することが可能です。
    基本的に変更する必要はありませんが、ファイルサーバー等にログを格納したい場合は変更してください。
    設定後[次へ]をクリックします。
    
    
    
12. [結果]画面にて、すべての項目が[構成に成功しました]と表示されていることを確認し
    [閉じる]をクリックします。
    
    
    

AD CS [エンタープライズCA] - 起動確認

1. サーバーマネージャーを起動します。
2. 画面右上の[ツール]をクリックし、[証明機関]をクリックします。
   
   
   
3. 証明機関 が立ち上がったことを確認して完了です。
   

ADCS にて発行する証明書の有効期限をのばす

1. [ファイル名を指定して実行]にて、[regedit]と入力して[OK]をクリックします。
   
   
   
2. レジストリ エディターを立ち上げます。
   
   
   
3. 以下キーに移動します。
   • 場所：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\
   • キー：ValidityPeriodUnits
     
4. 発行する証明書で指定したい最大の有効期限に変更します。
   入力値は〇年の〇部分になります。
   
   
   
5. すぐに反映させたい場合は、AD CSを導入したサーバーを再起動するか
   コマンドプロンプトを開き以下コマンドを実行してください。
   

    command
   gpupdate /force
   

   
   
   
6. [gpupdate]にて更新した場合は、証明書サービスを再起動するために
   PowerShellにて以下コマンドを入力します。
   

    command
   restart-service certsvc
   

   
   

さいごに・・・

ここまで読んでいただきありがとうございます。

証明書サービスと聞くと、名前からしてハードルを感じますが
やってみると簡単に構築はできてしまいます。
証明書の発行や運用は少し大変ですでの、別途勉強が必要です。

別記事で証明書の発行方法をまとめていこうと思います。