[Active Directory]証明書ファイルのインポート
2.4.ドメインコントローラの証明書の取得
ドメインコントローラの証明書を取得するためには、ドメインのポリシーに対して証明書を発行するように設定を行う必要があります。
また、ドメインコントローラの証明書の有効期限はデフォルトで1年となっています。よって、証明書が失効された場合は、有効期限が延長されたドメインコントローラの証明書を再取得する必要があります。以下に説明する設定を行うことで、ドメインコントローラの証明書は失効と同時に新しい証明書が再発行されるようになります(自動登録の設定において、証明書を自動的に登録するように設定した場合)。証明書の期限が切れた場合は、「図18 証明機関」の発行された証明書から新しいドメインコントローラの証明書を確認し、あらためてキーストアにインポートしてください。ドメインコントローラの証明書の有効期限はMicrosoft社の仕様により1年となっているため、毎年1回インポートしなおす必要があります。
[スタート]-[すべてのプログラム]-[管理ツール]-[Active Directoryユーザとコンピュータ]を起動します(「図13 Active Directoryユーザとコンピュータ」)。
[図13 Active Directoryユーザとコンピュータ]
ドメイン名を右クリックして「ドメインのプロパティ」を開き、グループ ポリシータブを開きます。
[図14 ドメインのプロパティ]
[Default Domain Policy]が選択されていることを確認したのち、[編集]ボタンを押下し、「グループ ポリシー オブジェクト エディタ」を開きます。
[図15 グループ ポリシー オブジェクト エディタ]
[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[公開キーのポリシー]-[自動証明書要求の設定]を右クリックして、[新規作成]-[自動証明書要求]を実行します。「図16 自動証明書要求ウィザード」に従ってドメインコントローラの自動証明書要求を設定します。
[図16 自動証明書要求ウィザード]
[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[公開キーのポリシー]-[自動登録の設定]をダブルクリックして、[証明書を自動的に登録する(E)]がチェックされていることを確認し、[有効期限が切れた証明書を更新、保留中の証明書を更新、および破棄された証明書を削除する(R)]と[証明書テンプレートを使用する証明書を更新する(U)]をチェックして[OK]ボタンを押下します(「図17 自動登録の設定」)。
[図17 自動登録の設定]
[スタート]-[すべてのプログラム]-[管理ツール]-[証明機関]を起動します(「図18 証明機関」)。
[図18 証明機関]
[発行した証明書]にドメインコントローラの証明書が作成されていますので、この証明書をダブルクリックして証明書の[詳細]タブから、[ファイルにコピー]ボタンを押下して、保存します。
このファイルは、「3.キーストアの作成方法」で説明するdcsrv.cerに該当します。
