次の方法で共有

ネットワーク ポリシー サーバーの証明書の自動登録を構成する

証明書の自動登録により、Active Directory 環境でネットワーク ポリシー サーバー (NPS) を実行しているサーバーに証明書を展開および管理するプロセスが簡略化されます。 この記事では、グループ ポリシーを使用してサーバー証明書とユーザー証明書の両方の自動登録を構成する方法について説明します。 これらの手順に従うことで、組織のサーバーとユーザーに対して証明書が自動的に発行、更新、管理されるようにすることができます。

[前提条件]

開始する前に、次の前提条件が満たされていることを確認します。

  • Active Directory 証明書サービス (AD CS) がインストールされ、少なくとも 1 つのエンタープライズ証明機関 (CA) で構成されます。

  • 自動登録用にサーバー証明書テンプレートを構成しました。 詳細については、「 自動登録用にサーバー証明書テンプレートを構成する」を参照してください。

  • エンタープライズ管理者とルート ドメインの Domain Admins セキュリティ グループの両方のメンバーである使用アカウントがあります。

  • 次の管理コンソールにアクセスします。

    • グループ ポリシー管理。
    • ネットワーク ポリシー サーバー。

サーバー証明書とユーザー証明書の自動登録を構成する

サーバー証明書の自動登録を構成するには、次の手順に従います。

  1. グループ ポリシー管理コンソールを起動します。

  2. Active Directory フォレストとドメインのノードを展開し、既定の ドメイン ポリシーを見つけます。 既定のドメイン ポリシーを右クリックし、[編集] を選択すると、グループ ポリシー管理エディターが開きます。

  3. グループ ポリシー管理エディターで、次のパスに移動します。 コンピューターの構成>ポリシー>Windows の設定>セキュリティ設定>パブリック キー ポリシー

  4. 詳細ウィンドウで、[証明書サービス クライアント - 自動登録] をダブルクリックします。 [プロパティ] ダイアログ ボックスが開きます。 次の項目を構成します。

    1. [構成モデル] で、[有効] を選択します。
    2. [ 期限切れの証明書の更新]、[保留中の証明書の更新]、[失効した証明書の削除] のチェック ボックスをオンにします。
    3. [ 証明書テンプレートを使用する証明書を更新する] チェック ボックスをオンにします。

  5. [OK] を選択. グループ ポリシー管理エディター コンソールを開いたままにして、ユーザー証明書の自動登録を構成します。

  6. 次のパスに移動します: ユーザー構成>ポリシー>Windows 設定>セキュリティ設定>パブリック キー ポリシー

  7. 詳細ウィンドウで、[証明書サービス クライアント - 自動登録] をダブルクリックします。 [プロパティ] ダイアログ ボックスが開きます。 次の項目を構成します。

    1. [構成モデル] で、[有効] を選択します。
    2. [ 期限切れの証明書の更新]、[保留中の証明書の更新]、[失効した証明書の削除] のチェック ボックスをオンにします。
    3. [ 証明書テンプレートを使用する証明書を更新する] チェック ボックスをオンにします。

  8. [ OK] を選択し、グループ ポリシー管理エディター コンソールを閉じます。

  9. NPS サーバーのグループ ポリシー設定を更新して、自動登録設定を適用します。 管理者特権のコマンド プロンプトで次のコマンドを実行することで、即時更新を強制できます。

    gpupdate /force

NPS のサーバー証明書の登録を確認する

自動登録と更新されたグループ ポリシーを構成したら、サーバー証明書が正常に登録されていることを確認できます。 サーバー証明書が正しく構成され、NPS に登録されていることを確認するには、テスト ネットワーク ポリシーを作成し、NPS が認証に証明書を使用できることを NPS が確認できるようにします。 ウィザードが完了しないため、テスト ネットワーク ポリシーは NPS に作成されませんが、サーバー証明書が登録されていることを確認できます。

サーバー証明書の NPS 登録を確認するには:

  1. ネットワーク ポリシー サーバー コンソールを開きます。

  2. [ ポリシー] を展開し、[ ネットワーク ポリシー] を選択します。

  3. [ネットワーク ポリシー] を右クリックし、[新規] を選択します。 新しいネットワーク ポリシー ウィザードが開きます。

  4. [ ネットワーク ポリシー名と接続の種類の指定] で、[ ポリシー名] に名前 ( 自動登録ポリシーのテストなど) を入力します。 [ネットワーク アクセス サーバーの種類] の値が [未指定] になっていることを確認し、[次へ] を選択します。

  5. 条件を指定で、追加を選択します。 [ Windows グループ] を選択し、[追加] を選択 します

  6. Windows グループの場合は、[グループの追加] を選択します。 ドメイン ユーザーなどの有効なグループを入力し、[OK] を選択します。 Windows グループの場合は、もう一度 [OK] を選択します。 グループが条件として一覧表示されていることを確認し、[ 次へ] を選択します。

  7. [ アクセス許可の指定] で、[ アクセス許可 ] が選択されていることを確認し、[ 次へ] を選択します。

  8. [ 認証方法の構成] で、[追加] を選択 します。 [ EAP の追加] で、[ Microsoft: Protected EAP (PEAP)] を選択し、[ OK] を選択します

  9. [EAP の種類] で、[Microsoft: Protected EAP (PEAP)]\(保護された EAP (PEAP)\) を選択し、[編集] を選択します。

  10. [ 保護された EAP のプロパティの編集 ] ダイアログ ボックスの [ 発行された証明書] で、NPS はサーバー証明書の名前を完全修飾ドメイン名 (FQDN) として表示します。 たとえば、NPS の名前が NPS-01 で、ドメインが example.com されている場合、NPS は証明書 NPS-01.example.com を表示します。 さらに、 発行者には証明機関の名前が表示され、 有効期限の日付にはサーバー証明書の有効期限が表示されます。

    Von Bedeutung

    NPS が有効なサーバー証明書を表示せず、ローカル コンピューターでこのような証明書が見つからないというメッセージを提供する場合は、次の 2 つの理由が考えられます。

    1. グループ ポリシーが正しく更新されず、NPS サーバーが CA から証明書を登録しませんでした。 この状況では、NPS サーバーを再起動します。 サーバーが再起動すると、グループ ポリシーが更新され、サーバー証明書が登録されていることを確認するためにもう一度試すことができます。

    2. 証明書テンプレート、証明書の自動登録、またはその両方が正しく構成されていません。 これらの問題を解決するには、この記事のすべての手順に正しく従って、指定した設定が正確であることを確認します。

  11. 有効なサーバー証明書が存在することを確認したら、[ OK][キャンセル] を選択してウィザードを終了できます。 ウィザードが完了していないため、テスト ネットワーク ポリシーは NPS に作成されません。

このプロセスでは、NPS が、仮想プライベート ネットワーク (VPN) サーバー、802.1X 対応のワイヤレス アクセス ポイント、リモート デスクトップ ゲートウェイ サーバー、802.1X 対応イーサネット スイッチなど、ネットワーク アクセス サーバーを介してネットワークにアクセスしようとしているクライアント コンピューターにその ID を証明するために使用できる有効なサーバー証明書を登録したことを示します。