証明書サーバーをインストールする。
ここでは、証明書サーバーをドメイン上のエンタープライズのルート CA としてインストールします。
スタンドアロンのローカル証明書であれば、インストール途中の、CAの種類をスタンドアロンのルート CA を選び同じように設定します。
証明書サーバーをインストール後は、コンピュータ名を変更できないので、証明書の名前を決めてからインストールに臨んでください。
Web 登録サービス も有効にするので、証明書サーバーをインストールする前に、先に、IISをインストールしておきます。
IISのWebサーバーは、ASP(Active Server Pages)を有効にしないと、Web 登録サービス が出来ないので、ASPを有効にします。
では、コントロールパネルより、プログラムの追加と削除を選び、
左側下の、Windows コンポーネントの追加と削除をクリックします。
アプリケーションサーバーを選択し、詳細をクリック
インターネット インフォメーション サービス (IIS) を選択し、詳細をクリック
WWW (World Wide Web) サービス を選択し、詳細をクリック
Active Server Pages を選択して有効にします。
OK 押下して、Windows コンポーネント の初期ページまで戻ります。
次に、証明書サービスを選択します。
チェックボックスを有効化と同時に、次のダイアログが出ますが、
そのまま、「はい」クリック
CA の種類 では、エンタープライズのルート CA を選びます。
※エンタープライズのルート及び、下位は、ドメイン内コンピュータで有効になります。
ワークグループ上のPCでは、選択できません。
次に、CA 識別情報 を入力します。
この CA の共通名に、任意な値を入力します。
ここでは、SSL Test (example.com) Server とします。
この名前は承認値にはなりませんので、何でも入力して構いませんが、証明書の最上位に現れる名前になりますので、それなりの名前を付けましょう。
識別名のサフィックス には、既存のドメイン名が設定されているので、そのまま。
次に、証明書データベースの選択
このままで、次へクリック
IISを再起動する警告がでます。
はい クリック
インストール中
Web 登録サービスは、ASPが必要だということを警告してる画面
はい クリック
インストール完了
インストールの後は、一度再起動したほうが良いです。
インストール完了直後、管理ツールから証明機関を表示すると、
発行した証明書 になにもありませんね。
再起動後は、以下のようにコンピュータ用の証明書が発行されます。
(これは、ドメインコントローラの証明書ですね)
証明書サーバーは、新しいPCがドメインに参加すると、そのPC用の証明書を発行しますが、そのタイミングは、そのPCの再起動時(など)に発行されます。
※ポリシーで変更できます。
以後、証明書の発行は、その目的によって都度説明していきます。
コメントする