証明書テンプレートの準備
Trust Lifecycle Managerからダウンロードした構成ファイルをインポートすると、DigiCert ONEで構成した一連の証明書テンプレートが自動的にActive Directoryにインストールされます。証明書をデプロイするには、各証明書テンプレートの適切なグループまたはユーザに、登録および/または自動登録の権限を個別に割り当てなければなりません。
テンプレートへのグループ/ユーザアクセスの割り当てを参照してください。
Autoenrollment Server は、v2 および v4 の証明書テンプレートをサポートします。
旧 v1 または v3 テンプレートにはAutoenrollment Serverが完全に修飾されていないため、自動登録に使用できません。ただし、旧テンプレートを新しいテンプレートに置き換えることは可能です。
テンプレートへのグループ/ユーザーアクセスの割り当て
証明書テンプレートの書き込み権限を持つ管理者(通常はドメイン管理者またはエンタープライズ管理者)を使用して、Autoenrollment Serverを実行しているマシンにアクセスします。Microsoft 管理コンソール (MMC)を開き、証明書テンプレートスナップインを追加して、そこにあるテンプレートのセキュリティ設定(登録/自動登録の権利)を設定します。
注記
セキュリティ設定以外のテンプレートの値は変更しないでください。テンプレートを編集すると、このテンプレートに対するすべての申請が失敗します。
テンプレート設定を変更するには、Trust Lifecycle Managerで対応する証明書プロファイルを編集し、新しい自動登録構成ファイルをダウンロードしてインポートします。
証明書テンプレートのプロパティのページには、セキュリティタブがあります。セキュリティタブを使用して、特定の証明書テンプレートのDACL (任意選択アクセス制御リスト) を定義することができます。証明書テンプレートに割り当てる権限によって、特定の証明書テンプレートに対して読み取り、変更、登録、または自動登録を行うことができるセキュリティ原則が定義されます。
グループまたはユーザー名ダイアログには、現在開いている証明書テンプレートの権限を持つすべてのグループとユーザーの一覧が表示されます。
デフォルトのグループ名(ドメインユーザーやドメインコンピュータなど)を使用しない場合、ご自身でネットワーク固有のグループ名を追加することができます。ドメイン固有のグループを追加したら、登録と自動登録の適切な組み合わせの権限を割り当てます。
重要な権限は以下の通りです。
読み取り:この権限は、セキュリティ原則が証明書を登録する際に、証明書テンプレートを参照することを許可します。これは、セキュリティ原則が証明書を登録または自動登録するのに必要です。また、証明書サーバは、Active Directoryで証明書テンプレートを見つける必要があります。
登録する:この権限により、セキュリティ原則は証明書テンプレートに基づいて証明書を登録することができます。証明書を登録するには、セキュリティ原則に証明書テンプレートの読み取り権限がなければなりません。
自動登録:この権限により、セキュリティ原則は自動登録プロセスを通じて証明書を受領することができます。自動登録権限には、自動登録権限に加えて、読み取り権限と登録権限の両方が必要です。
特定の証明書テンプレートに応じて、必要なユーザーまたはコンピュータのグループに適切な権限を割り当てる必要があります。
注記
テンプレートのアクセス許可を割り当てるときは、個々のユーザーまたはコンピュータのアカウントではなく、グローバルまたはユニバーサルグループを使用する必要があります。特に大規模なインフラストラクチャでは、これによりアクセス権の管理が容易になります。また、複数のドメインコントローラーコンテキスト間での競合や矛盾を最小限に抑えることもできます。
さらに:
すべての証明書テンプレートについて、認証されたグループに読み取り権限を割り当てる必要があります。これにより、すべてのユーザーとコンピュータはActive Directoryの証明書テンプレートを読むことができます。
テンプレートが不適切に構成されないように、書き込みとフルコントロールの権限を必要な人だけに制限してください。