サード パーティ証明機関 (CA) 証明書を Enterprise NTAuth ストアにインポートする方法
サード パーティ CA の証明書を Enterprise NTAuth ストアにインポートするには、2 つの方法があります。 このプロセスは、サード パーティの CA を使用してスマート カード ログオンまたはドメイン コントローラー証明書を発行する場合に必要です。 管理者は、CA 証明書を Enterprise NTAuth ストアに発行することで、CA がこれらの種類の証明書を発行するために信頼されていることを示します。 Windows CA は、CA 証明書をこのストアに自動的に発行します。
元の KB 番号: 295663
詳細
NTAuth ストアは、フォレストの構成コンテナーにある Active Directory ディレクトリ サービス オブジェクトです。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 識別名は、次の例のようになります。
CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=MyDomain,DC=com
NTAuth ストアに発行された証明書は、cACertificate の複数値属性に書き込まれます。 この属性に証明書を追加するには、2 つの方法がサポートされています。
方法 1 - PKI 正常性ツールを使用して証明書をインポートする
PKI 正常性ツール (PKIView) は MMC スナップイン コンポーネントです。 PKI を構成する 1 つ以上の Microsoft Windows CA の状態が表示されます。 Windows Server 2003 リソース キット ツールの一部として使用できます。
PKIView は、企業内の各 CA から CA 証明書と証明書失効リスト (CRL) に関する情報を収集します。 次に、証明書と CRL を検証して、正しく動作していることを確認します。 正常に動作しない場合、または失敗しようとしている場合、PKIView は詳細な警告またはエラー情報を提供します。
PKIView には、Active Directory フォレストにインストールされている Windows Server 2003 CA の状態が表示されます。 PKIView を使用して、エンタープライズ CA に関連付けられている下位 CA とルート CA を含むすべての PKI コンポーネントを検出できます。 このツールでは、Active Directory フォレストの構成パーティションにも含まれている重要な PKI コンテナー (ルート CA 信頼や NTAuth ストアなど) を管理することもできます。 この記事では、後者の機能について説明します。 PKIView の詳細については、Microsoft Windows Server 2003 Resource Kit Tools のドキュメントを参照してください。
Note
PKIView を使用して、Windows 2000 CA と Windows Server 2003 CA の両方を管理できます。 Windows Server 2003 Resource Kit Tools をインストールするには、コンピューターで Windows XP 以降が実行されている必要があります。
エンタープライズ NTAuth ストアに CA 証明書をインポートするには、次の手順に従います。
CA の証明書を.cer ファイルにエクスポートします。 次のファイル形式がサポートされています。
- DER でエンコードされたバイナリ X.509 (.cer)
- Base-64 でエンコードされた X.509 (.cer)
Windows Server 2003 リソース キット ツールをインストールします。 ツール パッケージには Windows XP 以降が必要です。
Microsoft 管理コンソール (Mmc.exe) を起動し、PKI 正常性スナップインを追加します。
- [コンソール] メニューの [スナップインの追加と削除] 選択。
- Standalone タブを選択し、Add ボタンを選択します。
- スナップインの一覧で、[PKI の入力] 選択。
- 追加 を選択してから 閉じる を選択します。
- [OK] を選択します。
Enterprise PKI を右クリックし、[ 管理 AD コンテナーを選択します。NTAuthCertificates タブを選択し、Add を選択します。
[ファイル] メニューの [開く] を選択します。
CA 証明書を見つけて選択し、 OK を選択してインポートを完了します。
方法 2 - Certutil.exeを使用して証明書をインポートする
Certutil.exeは、Windows CA を管理するためのコマンド ライン ユーティリティです。 Windows Server 2003 では、Certutil.exeを使用して Active Directory に証明書を発行できます。 Certutil.exeは Windows Server 2003 と共にインストールされます。 Microsoft Windows Server 2003 管理ツール パックの一部としても使用できます。
エンタープライズ NTAuth ストアに CA 証明書をインポートするには、次の手順に従います。
CA の証明書を.cer ファイルにエクスポートします。 次のファイル形式がサポートされています。
- DER でエンコードされたバイナリ X.509 (.cer)
- Base-64 でエンコードされた X.509 (.cer)
コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
certutil -dspublish -f filename NTAuthCA
NTAuth ストアの内容は、次のレジストリの場所にキャッシュされます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates
このレジストリ キーは、Active Directory 構成コンテナー内の NTAuth ストアに発行された証明書を反映するように自動的に更新する必要があります。 この動作は、グループ ポリシー設定が更新され、自動登録を担当するクライアント側拡張機能が実行されるときに発生します。 Active Directory レプリケーションの待機時間や、[証明書を自動的に登録しない] ポリシー設定が有効になっている場合など、特定のシナリオでは、レジストリは更新されません。 このようなシナリオでは、次のコマンドを手動で実行して、レジストリの場所に証明書を挿入します。
certutil -enterprise -addstore NTAuth CA_CertFilename.cer