Active Directory 証明書サービス (AD CS) は、セキュリティで保護された通信および認証プロトコルで使用される公開キー 基盤 (PKI) 証明書を発行および管理するための Windows Server の役割です。
証明書の発行と管理
デジタル証明書を使用すると、電子ドキュメントやメッセージの暗号化とデジタル署名に加え、ネットワーク上のコンピューター、ユーザー、またはデバイス アカウントの認証にも使用できます。 たとえば、デジタル証明書には次の情報が用意されています。
- 暗号化による機密性。
- デジタル署名による整合性。
- 証明書キーをコンピューター ネットワーク上のコンピューター、ユーザー、またはデバイス アカウントに関連付けることによる認証。
主な機能
AD CS には、次の重要な機能があります。
証明機関: ルート証明機関と下位証明機関 (CA) は、ユーザー、コンピューター、サービスに証明書を発行し、証明書の有効性を管理するために使用されます。
Web 登録: Web 登録を使用すると、ユーザーは Web ブラウザーを使用して CA に接続して、証明書を要求し、証明書失効リスト (CRL) を取得できます。
オンライン レスポンダー: オンライン レスポンダー サービスは、特定の証明書の失効状態要求をデコードし、これらの証明書の状態を評価し、要求された証明書の状態情報を含む署名済み応答を返します。
ネットワーク デバイス登録サービス: ネットワーク デバイス登録サービスを使用すると、ドメイン アカウントを持たないルーターやその他のネットワーク デバイスで証明書を取得できます。
TPM キーの構成証明: 証明機関は、秘密キーがハードウェア ベースの TPM によって保護されていること、および TPM が CA が信頼する TPM であることを確認できるようにします。 TPM キーの構成証明により、証明書が承認されていないデバイスにエクスポートされるのを防ぎ、ユーザー ID をデバイスにバインドできます。
証明書登録ポリシー Web サービス: 証明書登録ポリシー Web サービスを使用すると、ユーザーとコンピューターは証明書登録ポリシー情報を取得できます。
証明書登録 Web サービス: 証明書登録 Web サービスを使用すると、ユーザーとコンピューターは Web サービスを介して証明書の登録を実行できます。 証明書登録ポリシー Web サービスと共に、これにより、クライアント コンピューターがドメインのメンバーでない場合、またはドメイン メンバーがドメインに接続されていない場合に、ポリシー ベースの証明書の登録が有効になります。
メリット
ユーザー、コンピューター、またはサービスの ID を対応する秘密キーにバインドすることで、AD CS を使用してセキュリティを強化できます。 AD CS は、証明書の配布と使用を管理するためのコスト効率が高く、効率的で安全な方法を提供します。 AD CS には、ID と秘密キーのバインドに加えて、証明書の登録と失効を管理できる機能も含まれています。
Active Directory の既存のエンドポイント ID 情報を使用して証明書を登録し、情報を証明書に自動的に挿入できるようにします。 Active Directory グループ ポリシーを使用して、どの種類の証明書を許可するユーザーとマシンを指定することもできます。 グループ ポリシーの構成により、ロールベースまたは属性ベースのアクセス制御が可能になります。
AD CS でサポートされるアプリケーションには、Secure/Multipurpose Internet Mail Extensions (S/MIME)、セキュリティで保護されたワイヤレス ネットワーク、仮想プライベート ネットワーク (VPN)、インターネット プロトコル セキュリティ (IPsec)、暗号化ファイル システム (EFS)、スマート カード サインイン、Secure Socket Layer/Transport Layer Security (SSL/TLS)、デジタル署名などがあります。