リモート アクセス用の PKI をデプロイする
Contoso では、デジタル証明書を使用して、電子取引に関係する各当事者の ID を検証および認証できます。 デジタル証明書は、コンピューターと、アプリケーション サーバーでホストされている対応アプリケーションの間に信頼を確立する場合にも役立ちます。 リモート アクセスでは、証明書を使用してサーバーの ID を検証したり、暗号化を提供したりします。 Contoso では、証明書を使用して、リモート アクセス用にサインインしているユーザーまたはコンピューターの ID を検証することもできます。
証明書を取得する方法
ほとんどの場合、証明書は証明機関 (CA) から取得します。 CA について最も考慮すべき重要な点は、信用できるかどうかです。 信用できる CA によって証明書が発行されている場合、その証明書は信頼されており、認証に使用できます。 CA が信用できない場合は、その CA によって発行された証明書を認証に使用することはできません。
証明書を取得するには、以下の方法があります。
- Windows Server を使用して、自分専用のプライベート CA を作成する。 プライベート CA によって発行された証明書は、ドメインに参加している Windows クライアントおよびサーバーから自動的に信頼されます。 ただし、内部の CA によって発行された証明書は、ドメインに参加していないデバイスからは自動的に信頼されません。
- パブリック CA から証明書を購入する。 パブリック CA によって発行された証明書は、ドメインに参加しているかどうかに関係なく、ほぼすべてのデバイスから自動的に信頼されます。 Windows には、パブリック CA からユーザーまたはコンピューターに証明書を自動的にデプロイするためのツールは含まれていません。
- 一部のアプリケーション内で自己署名証明書を生成する。 既定では、これらの証明書は発行元サーバーによってのみ信頼され、組織内の他のコンピューターからは信頼されません。
- PowerShell を使用して自己署名証明書を生成する。
New-SelfSignedCertificateコマンドレットを使用して、新しい自己署名証明書を生成できます。
注意
中小規模の組織では、作業の開始ウィザード (設定と構成が容易になります) で構成された DirectAccess を使用する自己署名証明書を使用します。
PKI の計画時の考慮事項
リモート アクセス用に内部 PKI を実装する必要があるかどうかを判断するには、証明書の使用方法を計画する必要があります。 証明書を少数のサーバーでのみ使用する場合、パブリック CA の使用にかかるコストは低くなります。 また、パブリック CA から発行された証明書は、ドメインに参加していないデバイスがサーバーにアクセスすることが予想される場合にも有益です。
プライベート CA は、主にリモート アクセスでクライアント デバイスと個々のユーザーに認証用の証明書を発行する場合に役立ちます。 たとえば、ユーザー名とパスワード以外の第 2 レベルの認証として VPN アクセスを許可するには、有効なコンピューター証明書が必要となるのが一般的です。 証明書を多数のコンピューターに発行する場合は、プライベート CA によって提供される自動登録が重要です。 プライベート CA によって発行された証明書には料金を支払う必要がないため、コストを大幅に削減できます。
次の表は、プライベート CA とパブリック CA によって発行される証明書の長所と短所をまとめたものです。
| CA の種類 | 長所 | 短所 |
|---|---|---|
| プライベート CA | プライベート CA では、証明書の管理をきめ細かく制御できるため、パブリック CA と比べてコストが低くなります。 証明書ごとのコストは発生しません。 また、カスタマイズされたテンプレートや自動登録を使用することもできます。 | 既定では、プライベート CA によって発行された証明書は外部クライアント (Web ブラウザーやオペレーティング システム) から信頼されないため、より多くの管理が必要です。 |
| パブリック CA | パブリック CA によって発行された証明書は、多くの外部クライアント (Web ブラウザーやオペレーティング システム) から信頼されるため、最小限の管理で済みます。 | プライベート CA と比べてコストが高くなります。 コストは証明書ごとに発生します。 証明書の調達も遅くなります。 |