802.1 X 有線および無線展開のサーバー証明書を展開する

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

このガイドを使用して、リモート アクセスおよびネットワーク ポリシー サーバー (NPS) のインフラストラクチャ サーバーにサーバー証明書を展開することができます。

このガイドは次のセクションで構成されます。

• このガイドを使用するための前提条件

• このガイドで説明されていないもの

• テクノロジの概要

• サーバー証明書の展開の概要

• サーバー証明書の展開の計画

• サーバー証明書の展開

デジタル サーバー証明書

このガイドでは、Active Directory 証明書サービス (AD CS) を使用して、リモート アクセスおよび NPS インフラストラクチャ サーバーに証明書を自動的に登録する方法について説明します。 AD CS を使用すると、公開キー基盤 (PKI) を構築し、公開キーの暗号化、デジタル証明書、およびデジタル署名機能を組織に提供することができます。

ネットワーク上のコンピューター間の認証にデジタル サーバー証明書を使用すると、証明書によって次のことが実現されます。

1. 暗号化による機密性。
2. デジタル署名による整合性。
3. 証明書キーとコンピューター ネットワーク上のコンピューター、ユーザー、またはデバイス アカウントとの関連付けによる認証。

サーバーの種類

このガイドを使用すると、次の種類のサーバーにサーバー証明書を展開できます。

• リモート アクセス サービスを実行しているサーバー。 DirectAccess または標準の仮想プライベート ネットワーク (VPN) サーバー、RAS および IAS サーバー グループのメンバーであるサーバー。
• RAS および IAS サーバーグループのメンバーであるネットワーク ポリシー サーバー (NPS) サービスを実行しているサーバー。

証明書の自動登録の利点

サーバー証明書の自動登録には、次のような利点があります。

• AD CS の証明機関 (CA) によって、サーバー証明書がすべての NPS およびリモート アクセス サーバーに自動的に登録されます。
• ドメイン内のすべてのコンピューターは CA 証明書を自動的に受信し、すべてのドメイン メンバー コンピューターの信頼されたルート証明機関ストアにインストールされます。 このため、CA によって発行された証明書は、ドメイン内のすべてのコンピューターによって信頼されます。 この信頼により、認証サーバーではサーバーの ID を相互に証明でき、セキュリティで保護された通信を行うことができます。
• グループ ポリシーの更新以外に、すべてのサーバーを手動で再構成する必要はありません。
• すべてのサーバー証明書には、拡張キー使用法 (EKU) に、拡張のサーバー認証の目的とクライアント認証の目的が含まれています。
• スケーラビリティ。 このガイドを使用してエンタープライズ ルート CA を展開した後、エンタープライズ下位 CA を追加して、公開キー基盤 (PKI) を拡張できます。
• 管理の容易さ。 AD CS の管理は、AD CS コンソールを使用するか、Windows PowerShell のコマンドとスクリプトを使用して行うことができます。
• 簡単さ。 Active Directory のグループ アカウントとグループ メンバーシップを使用して、サーバー証明書を登録するサーバーを指定します。
• サーバー証明書を展開する場合、証明書は、このガイドの手順で構成したテンプレートに基づいています。 つまり、特定の種類のサーバーに対して異なる証明書テンプレートをカスタマイズすることも、発行するすべてのサーバー証明書に同じテンプレートを使用することもできます。

このガイドを使用するための前提条件

このガイドでは、Windows Server 2016 で AD CS と Web サーバー (IIS) のサーバー ロールを使用してサーバー証明書を展開する方法について説明します。 このガイドの手順を実行するための前提条件は、次のとおりです。

• Windows Server 2016 コア ネットワーク ガイドを使用してコア ネットワークをデプロイするか、コア ネットワーク ガイドで説明されているテクノロジが既にネットワーク上に正しくインストールされて機能している必要があります。 これらのテクノロジには、TCP/IP v4、DHCP、Active Directory Domain Services (AD DS)、DNS、および NPS が含まれます。

  注意

  Windows Server 2016 コア ネットワーク ガイドは、Windows Server 2016 テクニカル ライブラリから入手できます。 詳細については、コア ネットワーク ガイドに関する記事を参照してください。

• 展開を実行する前に、このガイドの「計画」セクションを読んで、この展開の準備ができていることを確認する必要があります。

• このガイドの手順を、示されている順序で実行する必要があります。 サーバーを展開する手順を実行せずに、先へとばして CA を展開しないでください。そうしないと、展開は失敗します。

• ネットワーク上に 2 台の新しいサーバーを展開する必要があります。1 つのサーバーには、エンタープライズ ルート CA として AD CS をインストールし、もう 1 つのサーバーには Web サーバー (IIS) をインストールして、CA で証明書失効リスト (CRL) をこの Web サーバーに発行できるようにします。

注意

このガイドでデプロイする Web および AD CS サーバーに静的 IP アドレスを割り当てるとともに、組織の名前付け規則に従ってコンピューターの名前を指定しておいてください。 さらに、コンピューターをドメインに参加させる必要があります。

このガイドで説明されていないもの

このガイドでは、AD CS を使用した公開キー基盤 (PKI) の設計と展開に関する包括的な手順は説明しません。 このガイドのテクノロジを展開する前に、AD CS のドキュメントと PKI 設計に関するドキュメントを確認することをお勧めします。

テクノロジの概要

AD CS と Web サーバー (IIS) のテクノロジの概要を次に示します。

Active Directory 証明書サービス

Windows Server 2016 の AD CS では、公開キー テクノロジを採用するソフトウェア セキュリティ システムで使用される x.509 証明書を作成および管理するためのカスタマイズ可能なサービスが提供されます。 組織で AD CS を使用することにより、人物、デバイス、またはサービスの ID が対応する公開キーに結び付けられ、それによってセキュリティを強化できます。 また、AD CS には、さまざまなスケーラブルな環境において証明書の登録と失効を管理できるようにする機能も組み込まれています。

詳細については、「Active Directory 証明書サービスの概要」および公開キー基盤の設計ガイダンスに関する記事を参照してください。

Web サーバー (IIS)

Windows Server 2016 の Web サーバー (IIS) ロールでは、Web サイト、サービス、およびアプリケーションを確実にホストするための、セキュリティで保護された、管理が容易なモジュール式の拡張可能なプラットフォームが提供されます。 IIS では、インターネット、イントラネットまたはエクストラネット上のユーザーと情報を共有できます。 IIS は、IIS、ASP.NET、FTP サービス、PHP、および Windows Communication Foundation (WCF) を一体化した統合 web プラットフォームです。

詳細については、「Web サーバー (IIS) の概要」を参照してください。