PKI を既に使用しているか新規に導入する組織では、この展開シナリオにおける証明書の登録 Web サービスによって証明書登録の利便性が向上し、そのメリットを享受できます。

• 複数フォレストの展開では、クライアント コンピューターは異なるフォレストの CA からの証明書を登録できます。
  
  
• エクストラネット上の展開では、モバイル ユーザーやビジネス パートナーがインターネット経由で登録できます。
  
  

証明書の登録 Web サービスは、クライアント コンピューターの代わりに要求を送信するため、委任先として信頼されている必要があります。この Web サービスをエクストラネット上で展開することにより、ネットワーク攻撃の脅威が高まります。そのため、組織によっては、サービスを委任先として信頼しないように選択する場合もあります。この場合には、証明書の登録 Web サービスおよび発行元の CA を、既存の証明書で署名された更新要求のみを受け付けるように構成できます。これには委任は必要ありません。

証明書の登録 Web サービスは、以下の要件も満たしている必要があります。

• Windows Server 2008 R2 スキーマの Active Directory フォレスト
  
  
• Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 を実行しているエンタープライズ CA
  
  
• フォレスト間で証明書を登録する場合は、Windows Server の Enterprise Edition または Datacenter Edition を実行しているエンタープライズ CA
  
  
• Windows® 7 を実行しているクライアント コンピューター
  
  

証明書の登録 Web サービスは Windows Server 2008 R2 のすべてのエディションで利用できます。

複数の Active Directory フォレストが存在し、フォレストごとに PKI が展開されている組織では、フォレスト間の証明書登録を有効にすることにより、CA 統合のメリットを享受できます。

• Active Directory フォレストには、Windows Server 2003 フォレストの機能レベルおよび双方向の推移的な信頼関係が必要です。
  
  
• Windows XP、Windows Server 2003、および Windows Vista® を実行しているクライアント コンピューターでは、フォレスト間の証明書登録をサポートするための更新プログラムは必要はありません。
  
  

この機能は、Windows Server 2008 R2 Enterprise または Windows Server 2008 R2 Datacenter を実行しているエンタープライズ CA で利用できます。

NAP IPsec 強制 を展開している組織、または大量の証明書を発行する CA では、特定の CA データベースの操作を省くことによって CA データベースのサイズを縮小できます。

通常、NAP 正常性証明書は発行後数時間で有効期限が切れます。また、CA はコンピューターごとに毎日複数の証明書を発行する場合があります。既定では、証明書が要求および発行されるたびに CA データベースにレコードが保存されます。多量の要求は、CA データベースのサイズ増加率と管理コストを押し上げます。

発行された証明書は CA データベースに保存されないため、証明書失効リストは利用できません。ただし、有効期間の短い証明書が大量に発行される場合は、証明書失効リストを保持していても実用的なメリットはありません。そのため、組織によっては、この機能を利用して証明書失効に関する制限を受け入れるようにした方がよい場合もあります。

この機能は、Windows Server 2008 R2 のいずれかのエディションを実行しているエンタープライズ CA で利用できます。