エクスポート (0) 印刷
すべて展開

AD CS : Web 登録

更新日: 2010年4月

適用対象: Windows Server 2008

Windows Server® 2008 オペレーティング システムの証明書 Web 登録サポートには、多くの変更が加えられています。これらの変更の理由は、Windows Vista® および Windows Server 2008 において、以前の ActiveX® 登録コントロールが新しい登録コントロールに置き換えられたためです。以下のセクションでは、これらの変更点とその意味について説明します。

証明書 Web 登録の機能

証明書 Web 登録は、Windows® 2000 オペレーティング システムに導入されて以来、利用可能です。組織において、ドメインに参加していないかネットワークに直接接続していないユーザーおよびコンピュータ、および、Microsoft 以外のオペレーティング システムのユーザーを対象に、証明書の発行と更新を行う必要がある場合、この機能は登録のメカニズムを提供します。Windows ベースの CA により提供される Web 登録サポートを利用すると、このようなユーザーは証明機関 (CA) の自動登録メカニズムに依存したり証明書の要求ウィザードを使用する代わりに、インターネットまたはイントラネット接続を介して新しい証明書や更新済みの証明書を要求し取得できます。

この機能の対象ユーザー

この機能の適用対象となるのは、Windows Server 2008 を実行している 1 つ以上の CA と Windows Vista を実行しているクライアントで構成される公開キー基盤 (PKI) を所有し、さらにユーザーに対し、Web ページを使用して新しい証明書の取得または既存の証明書の更新機能を提供しようとしている組織です。

Web 登録ページのサポートを追加すると、組織の PKI の柔軟性とスケーラビリティが大きく向上します。そのため、この機能は、PKI のアーキテクト、プランナー、および管理者にとって有用です。

既存機能の変更点

以前の登録コントロールである XEnroll.dll は、Windows Vista および Windows Server 2008 では新しい登録コントロールの CertEnroll.dll に置き換えられました。Web 登録処理は Windows 2000、Windows XP、および Windows Server 2003 の場合と基本的に同様ですが、登録コントロールのこの変更により、Windows Vista または Windows Server 2008 を実行しているユーザーまたはコンピュータが、これらの以前の Windows バージョンにインストールされた Web 登録ページを使用して証明書を要求しようとすると、互換性の問題が発生する可能性があります。

XEnroll から CertEnroll への変更が重要な理由

XEnroll.dll は廃止へと移行しており、これには次の理由があります。

  • XEnroll.dll は何年も前に作成された旧式のコントロールで、最近作成されたコントロールに比べてセキュリティが劣ると見なされています。

  • XEnroll.dll では、各種の機能セットが 1 つの一体化されたインターフェイスで公開され、100 を超えるメソッドとプロパティがあります。これらのメソッドとプロパティは何年もかけて追加されたもので、1 つの関数を呼び出すと他の関数の動作が変わる可能性があり、テストと保守が非常に困難です。

対照的に、CertEnroll.dll は、XEnroll.dll よりもセキュリティが高く、スクリプトの記述や更新も容易になっています。

noteメモ
XEnroll.dll は、Windows 2000、Windows XP、および Windows Server 2003 が実行されているコンピュータでの Web 登録に引き続き使用できます。

変更点

Windows Server 2008 ベースの CA では、Windows XP および Windows Server 2003 クライアント コンピュータのユーザーが発行する証明書 Web 登録要求が引き続きサポートされます。Windows XP、Windows Server 2003、または Windows 2000 を実行しているコンピュータから Windows Server 2008 の Web 登録ページにアクセスして証明書を登録しようとすると、Web 登録ページではそのことが検出され、クライアント コンピュータ上にローカルにインストールされている Xenroll.dll が使用されます。ただし、クライアントの次の動作は、以前のバージョンの Windows での動作とは異なります。

  • スマート カード登録ステーションとも呼ばれる登録エージェント機能は、Windows Server 2008 の Web 登録から削除されました。Windows Vista では独自の登録エージェント機能が提供されます。Windows Server 2008 の Web 登録を使用して他のクライアントの代わりに登録を実行する必要がある場合は、Windows Vista を実行しているコンピュータを登録ステーションとして使用する必要があります。または、Web 登録がインストールされている Windows Server 2003 ベースのサーバーを登録エージェントとして使用し、Windows Server 2008 ベースの CA を介して証明書を登録することもできます。

  • Web 登録ページから直接証明書要求を送信できるのは、Internet Explorer 6.x または Netscape 8.1 ブラウザのユーザーだけです。その他の Web ブラウザのユーザーも Web 登録ページを使用して登録要求を送信できますが、Web 登録ページから送信する前に、まず PKCS #10 要求を作成する必要があります。

  • 証明書 Web 登録は、バージョン 3 の証明書テンプレートと共には使用できません (このテンプレートは、Windows Server 2008 で Suite B 準拠の証明書の発行をサポートするために導入されています)。

  • Internet Explorer はローカル コンピュータのセキュリティ コンテキストでは実行できません。そのため、ユーザーは Web 登録を使用してコンピュータ証明書を要求することができなくなりました。

証明書 Web 登録の展開準備方法

証明書 Web 登録サポート用のサーバーを構成するには、証明機関 Web 登録役割サービスをサーバーの役割に追加する必要があります。CA と同じコンピュータに Web 登録サポートをインストールする場合は、追加の構成手順は必要ありません。CA と異なるコンピュータに Web 登録役割サービスをインストールする場合は、CA が Web 登録のインストール内容の一部として認識される必要があります。Web 登録役割サービスをインストールすると、"CertSrv" という名前の新しい Web サイトが、インターネット インフォメーション サービス (IIS) から利用できるようになります。

Windows Server 2008 または Windows Vista では XEnroll.dll を使用できないため、Microsoft 以外の Web 登録ページは大きな影響を受けます。このような CA の管理者は、代替のソリューションを作成し、以前のバージョンの Windows に対し Xenroll.dll の使用を継続する一方で、Windows Server 2008 および Windows Vista を使用するクライアント コンピュータに対し証明書の発行と更新をサポートする必要があります。

管理者はまた、IIS を実行するサーバーの適切な構成を計画する必要もあります。IIS は、64 ビット モードまたは 32 ビット モードでのみ実行可能です。64 ビット バージョンの Windows Server 2008 を実行しているサーバーに IIS をインストールする場合は、そのコンピュータに、Windows Server Update Services (WSUS) などの 32 ビットの Web アプリケーションを一切インストールしないでください。このようなアプリケーションがインストールされていると、Web 登録役割サービスのインストールが失敗します。

その他の参照情報

Active Directory 証明書サービスのその他の機能については、「Active Directory 証明書サービスの役割」を参照してください。

この情報は役に立ちましたか。
(残り 1500 文字)
フィードバックをいただき、ありがとうございました

コミュニティの追加

追加
表示:
© 2014 Microsoft