リモート アクセス用の PKI をデプロイする
Contoso はデジタル証明書を使用して、電子トランザクションに関係する各パーティの ID を検証および認証できます。 デジタル証明書は、コンピューターと、アプリケーション サーバーでホストされている対応するアプリケーション間の信頼を確立するのにも役立ちます。 リモート アクセスでは、証明書を使用してサーバーの ID を確認し、暗号化を提供します。 Contoso は、証明書を使用して、リモート アクセスにサインインするユーザーまたはコンピューターの ID を確認することもできます。
証明書を取得する方法
ほとんどの場合、証明機関 (CA) から証明書を取得します。 CA の最も重要な考慮事項は信頼です。 証明書が信頼された CA によって発行された場合、その証明書は信頼され、認証に使用できます。 CA が信頼されていない場合、その CA によって発行された証明書を認証に使用することはできません。
証明書を取得するには、次の手順を実行します。
- Windows Server を使用して独自のプライベート CA を作成します。 プライベート CA によって発行された証明書は、ドメインに参加している Windows クライアントとサーバーによって自動的に信頼されます。 ただし、内部 CA によって発行された証明書は、ドメインに参加していないデバイスによって自動的に信頼されることはありません。
- パブリック CA から証明書を購入します。 パブリック CA によって発行された証明書は、ドメインに参加しているかどうかに関係なく、ほぼすべてのデバイスによって自動的に信頼されます。 Windows には、パブリック CA からユーザーまたはコンピューターに証明書を自動的に展開するツールは含まれていません。
- 一部のアプリケーション内で自己署名証明書を生成します。 既定では、これらの証明書は発行元サーバーによってのみ信頼され、組織内の他のコンピューターでは信頼されません。
- PowerShell を使用して自己署名証明書を生成します。
New-SelfSignedCertificateコマンドレットを使用して、新しい自己署名証明書を生成できます。
注
ファースト ステップ ウィザードで構成された DirectAccess を使用する中小規模の組織では、自己署名証明書を使用します。この証明書を使用すると、セットアップと構成が簡単になります。
PKI を計画するときの考慮事項
リモート アクセス用の内部 PKI を実装する必要があるかどうかを判断するには、証明書の使用方法を計画する必要があります。 少数のサーバーでのみ証明書を使用している場合、パブリック CA を使用するコストは低くなります。 ドメインに参加していないデバイスがサーバーにアクセスすることが期待される場合は、パブリック CA からの証明書も役立ちます。
プライベート CA は、認証のためにクライアント デバイスと個々のユーザーに証明書を発行する場合に、主にリモート アクセスに役立ちます。 たとえば、ユーザー名とパスワード以外の第 2 レベルの認証として VPN アクセスを許可するために、有効なコンピューター証明書が必要な場合が一般的です。 証明書を多数のコンピューターに発行する場合は、プライベート CA によって提供される自動登録が重要です。 また、プライベート CA によって発行された証明書に対して支払う必要がないため、コストを大幅に削減できます。
次の表は、プライベート CA とパブリック CA によって発行される証明書の長所と短所をまとめたものです。
| CA の種類 | 利点 | 欠点 |
|---|---|---|
| プライベート CA | プライベート CA では、証明書管理をより詳細に制御でき、パブリック CA と比較してコストが低くなります。 証明書あたりのコストは発生しません。 また、カスタマイズされたテンプレートと自動登録を使用するオプションもあります。 | 既定では、プライベート CA による証明書は外部クライアント (Web ブラウザーとオペレーティング システム) によって信頼されないため、より大きな管理が必要です。 |
| パブリック CA | パブリック CA によって発行された証明書は、多くの外部クライアント (Web ブラウザーとオペレーティング システム) によって信頼されており、最小限の管理が必要です。 | プライベート CA と比較すると、コストが高くなります。 コストは証明書ごとに基づいています。 証明書の調達も遅くなります。 |