証明書サービスを使用してワイヤレス LAN のセキュリティを保護する
第 11 章 : 公開キー基盤を管理する
最終更新日: 2005年5月24日
トピック
はじめに
基本的な保守タスク
証明書サービスの管理役割
運用作業領域のタスク
サポート作業領域のタスク
最適化作業領域のタスク
変更作業領域のタスク
トラブルシューティング
構成表
関連情報
はじめに
ワイヤレス LAN のセキュリティ強化ソリューションの一部として PKI (公開キー基盤) が実装されますが、この章では、この PKI を管理するために必要な運用手順について説明します。 この章の構成は、Microsoft Operations Framework (MOF) のカテゴリおよび運用ガイドの最初の章 (第 10 章) で説明している概念に基づいています。
この章の目的は、公開キー基盤 (PKI) に対応した完全な管理システムを実装できるようにすることです。 ここでは、システムの監視と保守を開始するために必要なすべてのセットアップ タスクと、システムの動作を正常に保つために定期的に実施するタスクについて説明します。 また、サポート インシデントへの対応、環境の変更の管理、およびシステム パフォーマンスを最適化する手順についても説明します。
この章は大きく 2 つの部分に分かれています。 前半は「基本的な保守タスク」と「管理役割の割り当て」の 2 つのセクションで構成されています。簡単な説明で構成されているので、全体を読み通してください。 この 2 つのセクションを読むことで、システム用に正しく管理された環境をセットアップするための基本的な情報を確認できます。 章の後半は主に参照用です。 参照セクションには、システムを展開するときに実装する必要のあるいくつかのタスクが記載されていますが、これらのタスクについては、「基本的な保守タスク」で具体的に説明されています。
参照セクションの内容はすべて理解しておく必要はありませんが、セクション全体に目を通しておくことで、必要になったときに該当する項目をすばやく見つけることできます。
章の前提条件
「第 10 章 : 運用ガイドの紹介」で説明している MOF の概念についてひと通り理解しておく必要があります。MOF の詳細な知識は必要ありません。
特に PKI と Microsoft® 証明書サービスの概念について詳しく知っている必要があります。 Microsoft Windows® 2000 Server (またはそれ以降) についても、次の分野に関する知識が必要になります。
Microsoft Windows Server™ 2003 の基本的な運用および保守 (イベント ビューア、コンピュータの管理、NTBackup などのツールの使い方など)。
Active Directory® ディレクトリ サービス。Active Directory の構造とツール、ユーザー、グループ、その他の Active Directory オブジェクトの操作、グループ ポリシーの使い方など。
Windows システムのセキュリティ。ユーザー、グループ、監査、アクセス制御リストなどのセキュリティの概念、セキュリティ テンプレートの使用、グループ ポリシーまたはコマンド ライン ツールを使用したセキュリティ テンプレートの適用。
インターネット インフォメーション サービス (IIS) の管理。
Windows スクリプト ホストと Microsoft Visual Basic® Scripting Editing (VBScript) 言語に関する知識。これらの知識があれば提供されているスクリプトを最大限に活用できますが、必須ではありません。
この章を読む前に、関連する計画ガイドと構築ガイドの章 (第 4 章と第 6 章) に目を通し、ソリューションのアーキテクチャと設計について一通り理解しておく必要があります。
章の概要
次の一覧は、この章の主なセクションをまとめたものです。
基本的な保守タスク。 管理システムをセットアップするために必要なタスクの一覧と、システムを維持するために定期的に実施する必要のあるタスクの一覧で構成されます。
管理役割。 ソリューションで使用される管理役割、各役割の機能、およびこれらの役割の MOF 役割クラスタとソリューション用に定義された管理セキュリティ グループへの対応付け方法について説明します。
運用作業領域のタスク。 PKI の通常の保守に関連するすべてのタスクについて説明します。 監視、バックアップ、ディレクトリおよびセキュリティの運用などのタスクがあります。
サポート作業領域のタスク。 システムの問題からの復旧に関連するすべての手順について説明します。 証明書および証明機関 (CA) の失効、バックアップからの復元、障害のある CA の処理に関する手順などがあります。
最適化作業領域のタスク。 いくつかの容量管理計画手順について説明します。
変更作業領域のタスク。 CA 構成に変更を加え、その変更内容を制御された方法で運用環境にリリースする共通のタスクについて説明します。 また、PKI に関する重要な構成情報を収集して保守する手順についても説明します。
トラブルシューティング。 PKI で発生する共通の問題を解決する手順について説明します。 また、各種コンポーネントのログを有効にする手順と便利なトラブルシューティング ツールについても説明します。
構成表。 構築ガイドで使用される構成パラメータのサブセットについて説明します。 これらの値は、各手順で例として使用されます。
関連情報。 本文で参照したさまざまな関連情報ソースがまとめて記載してあります。
基本的な保守タスク
ここでは、PKI を正常に運用するために実行する必要のある主要なタスクについて説明します。 基本的な保守タスクには、1 回だけ行うセットアップ タスクと継続して行う運用タスクがあります。次の 2 つの表は、それぞれのタスクをまとめたものです。 表に記載されたタスクについては、この章の後半で詳しく説明します。 タスクは MOF の作業領域ごとにグループ化されています。必要なタスクを簡単に探すことができるように、タスクが属している MOF サービス管理機能 (SMF) をタスクの横に記述しています。
また、このセクションには、この章の手順で使用されるツールやテクノロジの一覧も含まれています。
最初に行うセットアップ タスク
この表は、PKI を運用するために実行する必要のあるタスクをまとめたものです。 運用基準や業務内容によってはこれらのタスクをすべて実行する必要はありませんが、タスクの詳細を確認して、実行すべきタスクかどうか判断しておく必要があります。 こうしたタスクの中には、再度実行しなければならないものもあります。たとえば、新たに CA サーバーをインストールする場合は、そのサーバー用のバックアップ ジョブと監視ジョブを構成する必要があります。
表 11.1: 最初に行うセットアップ タスク
| タスク名 | 役割クラスタ | SMF |
|---|---|---|
| 運用作業領域 | ||
| 証明書サービス管理に適したドメイン組織単位 (OU) 構造を準備する | インフラストラクチャ | ディレクトリ サービス管理 |
| 発行 CA CRL を Web サーバーに公開する | セキュリティ | セキュリティ管理 |
| 発行 CA データベースのバックアップを構成する | インフラストラクチャ | 記憶域管理 |
| ルート CA データベースのバックアップを構成する | インフラストラクチャ | 記憶域管理 |
| CA データベースのバックアップをテストする | 運用 | 記憶域管理 |
| CA キーのバックアップをテストする | 運用 | 記憶域管理 |
| 監視の警告を分類する | インフラストラクチャ | サービスの監視と管理 |
| 証明書サービスの容量制約を監視する | インフラストラクチャ | サービスの監視と管理 |
| 証明書サービスの健全性と可用性を監視する | インフラストラクチャ | サービスの監視と管理 |
| 保留中の証明書要求に対する SMTP 警告を設定する | インフラストラクチャ | サービスの監視と管理 |
| 発行 CA のジョブのスケジュールを設定する | インフラストラクチャ | ジョブのスケジューリング |
| 最適化作業領域 | ||
| 発行 CA の最大負荷を決定する | インフラストラクチャ | 容量管理 |
| 発行 CA の記憶域要件およびバックアップ要件を判定する | インフラストラクチャ | 容量管理 |
| 変更作業領域 | ||
| オペレーティング システムの更新を管理する | インフラストラクチャ | 変更管理 リリース管理 |
PKI 用の構成管理システムを設定するためのタスクは文書化されていませんが、「構成管理」で説明する手順を確認してください。 これらの手順では、構成管理システムで収集および保守すべき情報について説明しています。
保守タスク
この表 は、PKI を正常に運用できるように定期的に実行する必要があるタスクをまとめたものです。 この表は、必要なリソースやシステム管理の運用スケジュールを計画する際に役立ちます。
タスクを実行する必要がない場合もあるので、タスクの詳細を確認して、その必要があるかどうか判断してください。 また、タスクの中には、定期的に実行するものと、必要に応じて実行するものがあります。 たとえば、ルート CA 証明書が更新される場合には、ルート CA のバックアップを予定していない場合でもこれらの処理を実行する必要があります。 このような場合は、表の "実行頻度" 列に注記しています。 また、このような必要事項は、個々のタスクの説明でも注記しています。
表 11.2: 保守タスク
| タスク名 | 実行頻度 | SMF |
|---|---|---|
| 運用作業領域 | ||
| 保留中の要求を確認する | 毎日 | セキュリティ管理 |
| ルート CA 証明書を更新する | 8 年ごと | セキュリティ管理 |
| 発行 CA 証明書を更新する | 4 年ごと | セキュリティ管理 |
| オフライン CRL および CA 証明書を発行する | 6 か月ごと | セキュリティ管理 |
| CA キーおよび証明書をバックアップする | 毎年、または CA 証明書が更新されるたび (どちらか早い方) | 記憶域管理 |
| CA データベースのバックアップをテストする | 毎月 | 記憶域管理 |
| CA キーのバックアップをテストする | 6 か月ごと | 記憶域管理 |
| CA からのセキュリティ監査データをアーカイブする | 毎月 (発行 CA) | 記憶域管理 |
| CA からのセキュリティ監査データをアーカイブする | 6 か月ごと (ルート CA) | 記憶域管理 |
| 項目 | ソース |
|---|---|
| [Active Directory ユーザーとコンピュータ] 管理コンソール (MMC スナップイン) | Microsoft Windows Server 2003 |
| [証明機関] MMC スナップイン | Windows Server 2003 |
| [証明書テンプレート] MMC スナップイン | Windows Server 2003 |
| Certutil.exe | Windows Server 2003 |
| Certreq.exe | Windows Server 2003 |
| MSS スクリプト | このソリューション |
| テキスト エディタ | Windows Server 2003 のメモ帳 |
| Windows タスク スケジューラ サービス | Windows Server 2003 |
| SchTasks.exe | Windows Server 2003 |
| Windows バックアップ | Windows Server 2003 |
| Cipher.exe | Windows Server 2003 |
| イベント ビューア | Windows Server 2003 |
| パフォーマンス モニタ | Windows Server 2003 |
| Net.exe | Windows Server 2003 |
| DSquery.exe | Windows Server 2003 |
| Ldifde.exe | Windows Server 2003 |
| DCDiag.exe | Windows Server 2003 |
| 運用警告コンソール | Microsoft Operations Manager (MOM) |
| ルート CA をバックアップするためのリムーバブル メディア | CD–RW またはテープ |
| 発行 CA サーバーのバックアップ | 企業のバックアップ サービスまたは ローカル バックアップ デバイス |
| [グループ ポリシー] MMC スナップイン | Microsoft.com からの Web ダウンロード |
| PKI Health | Windows Server 2003 Resource Kit |
| 項目 | ソース |
|---|---|
| 運用警告コンソール | Microsoft Operations Manager またはその他のサービス監視システム |
| 運用警告用の電子メール インフラストラクチャ (MOM の代替) | SMTP/POP3/IMAP サーバーとクライアント (Microsoft Exchange Server および Microsoft Outlook® など) |
| Eventquery.vbs | Windows Server 2003 |
| 容量計画ツール | Microsoft Operations Manager またはその他の容量計画ツール |
| セキュリティ更新配布システム | Microsoft Systems Management Server (SMS) または Microsoft Software Update Services (SUS) |
| 役割名 | 範囲 | 説明 |
|---|---|---|
| エンタープライズ PKI 管理者 (Enterprise PKI Administrator) | エンタープライズ環境 | PKI 全体に責任を持ち、エンタープライズの証明書の種類、アプリケーション ポリシー、信頼パスなどを定義する。 |
| エンタープライズ PKI 発行者 (Enterprise PKI Publisher) | エンタープライズ環境 | ディレクトリに対する信頼されたルート証明書、サブ CA 証明書、および CRL の公開を担当する。 |
| CA 管理者 (CA Administrator) (CC "Administrator" 役割) |
CA | CA 管理者 - CA の構成とCA への役割の割り当てを担当する。 多くの場合、Enterprise PKI Admins と同じ人が兼務します。 証明書の使用法で指示されている場合は、CA ごとに別々の CA 管理者が割り当てられます。 |
| 管理者 (Administrator) (CC "Administrator" 役割) |
CA | CA サーバー オペレーティング システムの管理者。サーバー レベルの構成を行う (CA のインストールなど)。 多くの場合、CA Admins 役割と同じ人が兼務します。 証明書の使用法で指示されている場合は、CA ごとに別々の管理者が割り当てられます。 |
| CA 監査人 (CA Auditor) (CC "Auditor" 役割) |
CA | 監査イベント、ポリシー、およびこれらに類似した CA の監査可能なイベントを管理する。 |
| 証明書マネージャ (Certificate Manager) (CC "Officer" 役割) |
CA | 手動による承認が必要な証明書について、要求の承認と証明書の失効を行う。 証明書の使用法で指示されている場合は、さまざまな CA の承認を複数の証明書マネージャが担当することができます。 |
| 登録機関 (Registration Authority) | 証明書プロファイル | 証明書マネージャの役割を拡張したもの。 証明書のサブジェクトの ID の検証に続いて、証明書要求の承認と署名を担当します。 人、IT プロセス、またはデバイス (指紋スキャナやデータベースなど) が該当します。 異なる登録機関を異なる証明書プロファイル (テンプレート) に対して指定でき、また複数の CA にまたがることができます。 |
| キー復元エージェント (Key Recovery Agent) | CA | CA データベース内のアーカイブ形式の秘密キーを解読するためのキーを保持する。 |
| CA バックアップ オペレータ (CA Backup Operator) (CC "Operator" 役割) |
CA | CA サーバーのバックアップと復元、およびバックアップ メディアの安全な格納を担当する。 |
| 役割名 | 範囲 | 説明 |
|---|---|---|
| 監視オペレータ (Monitor Operator) | エンタープライズ環境 | イベントの監視を担当します。 |
| 容量計画立案者 (Capacity Planner) | エンタープライズ環境 | パフォーマンスと負荷を分析し、今後の容量要件を予測する。 |
| Active Directory 管理者 (Active Directory Administrator) | エンタープライズ環境 | Active Directory インフラストラクチャの構成とサポートを担当する。 |
| Active Directory 運用 (Active Directory Operations) | エンタープライズ環境 | セキュリティ グループの保守、アカウントの作成など、ディレクトリの日常的な保守業務を担当する。 |
| 変更承認委員会 (Change Approvals Board) | エンタープライズ環境 | インフラストラクチャの変更の承認に必要な業務および技術部門の代表者。 |
| 役割名 | ドメイン セキュリティ グループ (オンライン CA) | ローカル セキュリティ グループ (オフライン CA) | 機能 |
|---|---|---|---|
| エンタープライズ PKI 管理者 (Enterprise PKI Administrator) | Enterprise PKI Admins | - | Active Directory の Public Key Services コンテナの管理。 テンプレート、信頼された発行、およびその他のエンタープライズ (フォレスト) レベルの構成要素を管理します。 |
| エンタープライズ PKI 発行者 (Enterprise PKI Publisher) | Enterprise PKI Publishers | - | ディレクトリに対する信頼されたルート証明書、サブ CA 証明書、および CRL の公開。 |
| CA 管理者 (CA Administrator) | CA Admins | CA Admins (ルート CA のみ) | CA で "CA の管理" アクセス許可を持つ。 CA での役割の割り当てを管理します。 また、CA プロパティを変更するアクセス許可も持ちます。 役割の分離が有効になっていない限り、多くの場合、CA サーバーのローカル Administrator と兼任します。 |
| 管理者 (Administrator) | Administrators | CA サーバーのローカル Administrator。 | |
| CA 監査人 (CA Auditor) | CA Auditors | CA Auditors (ルート CA のみ) Administrators | CA で "セキュリティ ログと監査ログを管理する" ユーザー権利を持つ。 CA のローカル Administrators グループのメンバでもあります (監査ログにアクセスするために必要)。 |
| 証明書マネージャ (Certificate Manager) | Certificate Managers | Certificate Managers (ルート CA のみ) |
CA で "証明書の発行と管理" アクセス許可を持つ。 各 CA で複数の証明書マネージャを設定することが可能です。この場合、それぞれの証明書マネージャが、ユーザーまたはその他のエンド エンティティのサブセットに関する証明書を管理します。 |
| 登録機関 (Registration Authority) | - | - | 承認の前に証明書要求に署名するために必要な証明書とキーを保持する。 |
| キー復元エージェント (Key Recovery Agent) | - | - | 証明書データベースにアーカイブされている秘密キーの解読に必要な証明書とキーを保持する。 |
| CA バックアップ オペレータ (CA Backup Operator) | CA Backup Operators | CA Backup Operators (ルート CA のみ) | CA サーバーで "バックアップと復元" 権利を持つ。 |
| OU | グループ | 目的 |
|---|---|---|
| 証明書サービス | ||
| 証明書サービス管理 | Enterprise PKI Admins Enterprise PKI Publishers CA Admins CA Auditors Certificate Managers CA Backup Operators |
CA およびエンタープライズ PKI 構成を管理する管理グループを含む。 |
| 証明書テンプレート管理 | 例 : Manage User Template Manage Smartcard Logon Template |
同じ名前のテンプレートのフル コントロールを許可されたグループを含む。 テンプレートの種類に基づいて管理の委任が可能。 |
| 証明書テンプレート登録 | 例 : Enroll User Certificate Auto Enroll User Certificate Enroll Email Signing Certificate |
同じ名前のテンプレートの "登録" または "自動登録" アクセス許可を持つグループを含む。 グループの制御を適切な担当者に委任することによって、実際のテンプレートを変更せずに柔軟な登録体制を実現可能。 |
**注 :** CA 証明書の有効期限または証明書ポリシーの変更が必要な場合には、この手順を開始する前に、%systemroot% ディレクトリの CAPolicy.inf でもこの有効期限または証明書ポリシーを指定しておく必要があります。
[証明機関] MMC スナップインを開きます。 CA オブジェクトの [タスク] メニューで、[CA 証明書の書き換え] をクリックします。 証明書を更新するために CA を停止する必要があることを通知する警告が表示されます。
[新しいキー] オプションを選択します。 証明書サービスが再開されます。
CA のプロパティから証明書を表示し、最新の CA 証明書の [有効期間の開始] の日付が現在の日付になっていることを確認します。
次のコマンドで CRL を発行し、新しい CA 証明書をディスクにコピーします。
Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf
発行 CA にディスクを移します (発行 CA でなくても構いません。certutil.exe とこのソリューションで提供されたスクリプトがインストールされていれば、どのドメイン メンバでも使用できます)。
Enterprise PKI Admins グループのメンバとしてログオンし、次のスクリプトを実行します。
Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
注 : 下位 CA を一度に更新することをお勧めします。 ただし、必須ではありません (「発行 CA 証明書を更新する」を参照)。
ルート CA の証明書とキーをバックアップします。 (「CA キーおよび証明書をバックアップする」を参照)。
ルート CA の証明書データベースとシステム状態をバックアップします。 (「ルート CA データベースをバックアップする」を参照)。
発行 CA 証明書を更新する
CA 証明書を定期的に更新して、エンド エンティティ (および下位 CA) がこの CA で証明書を登録できるようにする必要があります。 CA で発行される証明書の有効期限は、その CA の証明書の期限よりも後にすることはできません。 この他に、CA 証明書の更新は次の目的でも行われます。
CA が使用するキーを変更する (セキュリティが侵害されたか、そのおそれがある場合)
CA に証明書ポリシーを追加する (限定従属)
CDP または AIA パスを変更する
CRL を分割する
通常は、CA を更新するたびに CA のキーを変更することをお勧めします。 キーを変更せずに更新を行う場合は、「同じキーで発行 CA 証明書を更新する」の手順を参照してください。
要約情報
セキュリティ要件 :
発行 CA のローカル Administrators
ルート CA の Certificate Managers
Enterprise PKI Admins
実行頻度 : 4 年ごと
技術要件 :
Certutil.exe
MSS スクリプト
[証明機関] MMC スナップイン
テキスト エディタ
重要 : 正しく更新した CA 証明書を Active Directory NTAuth ストアに発行する (この発行により CA はエンタープライズ CA として特定されます) には、Enterprise PKI Admins およびローカル Administrators グループの両方のメンバであるアカウントを使用して CA 証明書をインストールする必要があります。 Enterprise PKI Admins グループには、証明書をディレクトリに発行する権限があり、ローカル Administrators には CA 証明書を CA にインストールする権限があります。
タスクの詳細
発行 CA 証明書を更新するには
ローカル Administrators グループのメンバとして、発行 CA にログオンします。
キー サイズを変更する必要がある場合は、%systemroot% ディレクトリに格納されている CAPolicy.inf ファイルを編集する必要があります。 RenewalKeyLength の値を目的のサイズ (ビット) に変更します (キー サイズは CA で使用している CSP でサポートされている必要があります)。
\[Certsrv\_Server\] RenewalKeyLength=2048重要 : CA 証明書の有効期限または証明書ポリシーの変更が必要な場合には、この手順を開始する前に、%systemroot% ディレクトリの CAPolicy.inf でもこの有効期限または証明書ポリシーを指定しておく必要があります。
[証明機関] MMC スナップインを開き、CA オブジェクトの [タスク] メニューで [CA 証明書の書き換え] をクリックします。
[新しいキー] オプションを選択します。
更新の送信先となる CA を指定するように求めるメッセージが表示されたら、[キャンセル] をクリックして要求ファイルをディスクに保存します。 証明書サービスが再開されます。
証明書要求ファイルをディスクにコピーします。 証明書要求が生成され、共有フォルダ パス (C:\CAConfig) に格納されます。 この HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req ファイルをディスクにコピーします (斜体の文字列はご使用の CA の詳細に置き換えます)。
ディスクを持ってルート CA に移動し、ローカル Certificate Managers グループのメンバとしてログオンします。
[証明機関] MMC スナップインで、CA の [タスク] メニューの [新しい要求の送信] をクリックして、(下位 CA 要求ディスク上の) 発行 CA から転送した要求を送信します。
ルート CA では、すべての要求を手動で許可する必要があります。 [保留中の要求] コンテナで要求を検索し、[共通名] フィールドに発行 CA の名前が含まれていることを確認して、要求を承認 (発行) します。
[発行された証明書] コンテナで、新しく発行された証明書を検索して開きます。
証明書の詳細が正しいことを確認してから、[ファイルへコピー] をクリックしてこの証明書をファイルにエクスポートし、 発行 CA に再度転送するために PKCS#7 ファイルとしてディスクに保存します。
エンタープライズ PKI Admins とローカル Administrators グループの両方のメンバであるアカウントを使用して、発行 CA にログオンし直し、 ディスクを挿入します。
[証明機関] MMC スナップインで、CA の [タスク] メニューの [証明書のインストール] をクリックします。 ディスクから発行 CA 証明書をインストールします。 CA が再開します。
CA のプロパティから証明書を表示し、最新の CA 証明書の [有効期間の開始] の日付が現在の日付になっていることを確認します。
CDP に指定されている Web 上の発行先に新しい CA 証明書を発行します (「発行 CA 証明書を Web サーバーに公開する」の手順を参照)。
発行 CA の証明書とキーをバックアップします (「CA キーおよび証明書をバックアップする」の手順を参照)。
ルート CA の証明書データベースとシステム状態をバックアップします (「ルート CA データベースをバックアップする」の手順を参照)。
発行 CA の証明書データベースとシステム状態をバックアップします (「発行 CA データベースのバックアップを構成する」の手順を参照)。このバックアップは、通常の日次バックアップでも実行する必要があります。
同じキーでルート CA 証明書を更新する
通常は、スケジュールされた CA 証明書の更新のたびに、ルート CA のキーを変更します (「ルート CA 証明書を更新する」の手順を参照)。 ただし、CA ポリシーの変更が必要になった場合や、同じキー ペアをそのまま使用しながら証明書の有効期限の延長が必要になる場合などは、CA キーを変更せずに CA 証明書を更新する必要があります。
要約情報
セキュリティ要件 : CA のローカル Administrators
実行頻度 : 必要に応じて
技術要件 :
Certutil.exe
MSS スクリプト
テキスト エディタ
タスクの詳細
CA キーを変更せずにルート CA 証明書を更新するには
- 「ルート CA 証明書を更新する」の手順に従います。ただし、新しいキーで更新するかどうか確認するメッセージが表示されたら、[いいえ] をクリックします。 CAPolicy.inf ファイルの RenewalKeyLength の値を変更しても影響はありません。
新しいキーを生成するかどうか確認するメッセージで [いいえ] を選択すること以外は、「ルート CA 証明書を更新する」の手順と同じになります。
注意 : ルート CA の証明書の更新は、非常に重要なイベントです。 新しいルート証明書の影響を受ける可能性があるアプリケーション所有者全員に通知してください。アプリケーションにこの新しいルートを組み入れる必要がある可能性があります。
同じキーで発行 CA 証明書を更新する
通常は、スケジュールされた CA 証明書の更新を行うたびに、CA のキーを変更する必要があります (「発行 CA 証明書を更新する」の手順を参照)。ただし、CA ポリシーの変更が必要になった場合や、同じキー ペアをそのまま使用しながら証明書の有効期限の延長が必要になる場合などは、CA キーを変更せずに CA 証明書を更新する必要があります。
要約情報
セキュリティ要件 : CA のローカル Administrators
実行頻度 : 必要に応じて
技術要件 :
Certutil.exe
MSS スクリプト
[証明機関] MMC スナップイン
テキスト エディタ
タスクの詳細
CA キーを変更せずに発行 CA 証明書を更新するには
- ルート CA 証明書の更新手順に従います。ただし、新しいキーで更新するかどうか確認するメッセージが表示されたら、[いいえ] をクリックします。 CAPolicy.inf ファイルの RenewalKeyLength の値を変更しても影響はありません。
新しいキーを生成するかどうか確認するメッセージで [いいえ] を選択すること以外は、「発行 CA 証明書を更新する」の手順と同じになります。
オフライン CRL および CA 証明書を発行する
オフライン CA の証明書失効リスト (CRL) をオンラインの場所に発行して、証明書ユーザーが CA チェーン全体の失効状態を確認できるようにする必要があります。
要約情報
セキュリティ要件 :
CA のローカル Administrators
Enterprise PKI Publishers
実行頻度 : 6 か月ごと、または必要に応じて
技術要件 :
Certutil.exe
MSS スクリプト
タスクの詳細
オフライン ルート CRL を Active Directory および Web URL に発行するには
CA Admins グループのメンバとしてルート CA にログオンします。
次のコマンドで CRL を発行し、新しい CA 証明書をディスクにコピーします。
Cscript //job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscript //job:getcrls c:\MSSScripts\ca_operations.wsf
発行 CA にディスクを移します (サーバーは発行 CA でなくても構いません。certutil.exe と MSS スクリプトがインストールされていれば、どのドメイン メンバでも使用できます)。
Enterprise PKI Publishers のメンバとしてログオンし、次のスクリプトを実行します。
Cscript //job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscript //job: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
オンライン CRL の発行を強制する
オンライン エンタープライズ CA の CRL は、自動的に発行および公開されます。通常、オンライン CRL の発行を強制する必要はありません。 ただし、CA が発行した証明書をすべて失効するなどの重大な失効が発生し、新しい CRL をできるだけ早く公開する必要がある場合は、オンライン CRL の発行の強制が必要になることがあります。
注 : CRL をクライアントに対して送り出すことは不可能です。クライアントはキャッシュ内に存在するコピーをそのコピーの期限が切れるまで保持します。 ただし、新しい CRL が公開された後は、伝搬の遅れは別として、CRL を要求するすべてのクライアントが新しい CRL を受け取ります。
要約情報
セキュリティ要件 : CA のローカル Administrators
実行頻度 : 必要に応じて
技術要件 : [証明機関] MMC スナップイン
タスクの詳細
オフライン CA CRL を Active Directory に発行および公開するには
CA Admins のメンバとして CA にログオンし、[証明機関] MMC スナップインを読み込みます。
[失効した証明書] フォルダの [タスク] メニューから [発行] をクリックし、新しい CRL を発行します。
Base CRL を発行するには [新しい CRL] を選択し、新しい Delta CRL だけの場合は [Delta CRL] を選択します。
発行 CA 証明書を Web サーバーに公開する
発行 CA 証明書は、HTTP (Hypertext Transfer Protocol) AIA に公開される必要があります。
要約情報
セキュリティ要件 : Enterprise PKI Publishers
実行頻度 : 必要に応じて
技術要件 :
MSS スクリプト
Certutil.exe
タスクの詳細
Web サーバー フォルダに直接発行できるように CA を構成することも技術的には可能です。 ただし、このような方法は、セキュリティやネットワーク接続の面を考慮すると、必ずしも実用的ではありません。 次の方法ではファイルのコピーという単純な手法を使用していますが、この方法はほとんどの構成に合わせて拡張できます。
注 : この方法は、直接ネットワーク接続とサーバー メッセージ ブロック ファイル共有 (通常はファイアウォールでブロックされます) を使用するため、インターネットに接続されている Web サーバーに直接公開するのに適していません。 インターネット サーバーに公開するには、次の方法で中間の場所に公開し、Web サーバーへのセキュリティ公開コンテンツの標準的な方法を使用します。 この方法を使用する場合、発行までに時間が余分にかかる点を考慮に入れる必要があります。
CA 証明書はほとんど更新されないので、CA 証明書が更新された場合には手動で AIA に公開できます。
発行 CA の証明書を公開するには
発行先の Web サーバー フォルダへの書き込みアクセス許可を持つアカウントで、発行 CA にログオンします。
Web サーバーがリモート サーバー上にある場合は、Web サーバー フォルダが共有されていることを確認します。 この共有フォルダの汎用名前付け規則 (UNC) パスを書き留めておきます。
Web サーバーが CA と同じサーバーにある場合には、Web サーバー フォルダのローカル パスを書き留めておきます。
Web サーバー フォルダの公開先パスに一致するように C:\MSSScripts\PKIParams.vbs の WWW_REMOTE_PUB_PATH パラメータを更新します (既定の設定はローカル パス C:\CAWWWPub です)。
次のコマンドを実行して、CA 証明書を Web サーバーに発行します。
Cscript //job:PublishIssCertsToIIS C:\MSSScripts\CA_Operations.wsf
発行 CA CRL を Web サーバーに公開する
発行 CA CRL を HTTP CRL 配布ポイント (CDP) に公開する必要があります。
要約情報
セキュリティ要件 : CA のローカル Administrators
実行頻度 : セットアップ タスク
技術要件 :
MSS スクリプト
Certutil.exe
Windows タスク スケジューラ サービス
SchTasks.exe
タスクの詳細
Web サーバー フォルダに直接発行できるように CA を構成することも技術的には可能です。 ただし、このような方法は、セキュリティやネットワーク接続の面を考慮すると、必ずしも実用的ではありません。 次の方法ではファイルのコピーという単純な手法を使用していますが、この方法はほとんどの構成に合わせて拡張できます。
注 : この方法は、サーバー メッセージ ブロック (SMB) ファイル共有と直接ネットワーク接続 (通常はファイアウォールでブロックされる) を使用するため、インターネットに接続されている Web サーバーに直接公開するのに適していません。 インターネット サーバーに公開するには、次の方法で中間の場所に公開し、Web サーバーへのセキュリティ公開コンテンツの標準的な方法を使用します。 この手法を使用する場合、発行までに時間が余分にかかり、CRL の更新が遅れる可能性があることを考慮に入れる必要があります。
発行 CA は CRL を頻繁に発行します (Delta CRL の場合は毎日または 1 時間ごと)。 そのため、CRL を Web サーバーに自動的に複製する方法が必要となります。
CRL の発行を自動化するには
ローカル Administrators のメンバであるアカウントで発行 CA にログオンします。
このサーバーからリモート共有またはローカル パスとして Web サーバー フォルダにアクセスできることを確認します。
Web サーバーがリモート サーバーである場合には、発行 CA のコンピュータ アカウントに、ファイル システム フォルダへの "書き込み" アクセス許可 ("変更" アクセス許可) と、発行先の Web サーバー フォルダに対応する共有への "書き込み" アクセス許可 ("変更" アクセス許可) を与えます。 Web サーバーがフォレストのメンバである場合には、Cert Publishers グループを利用してアクセス許可を与えることができます。この方法では、証明書と CRL を Web サーバー フォルダに発行するために必要なアクセス許可が、すべてのエンタープライズ CA に与えられます。 Web サーバーのアクセス許可を変更する必要はありません (第 7 章の「機関情報アクセス (AIA: Authority Information Access) と CRL 配布ポイント (CDP: CRL Distribution Point) を発行できるように、発行 CA 上の IIS を設定する」を参照)。
次のコマンドを使用して CRL をコピーするようにスケジュールしたジョブを作成します。
schtasks /create /tn "Publish CRLs" /tr "cscript.exe
//job:PublishIssCRLsToIIS \"C:\MSSScripts\CA_Operations.wsf\""
/sc Hourly /ru "System"(このコマンドは表示の都合上複数行で示していますが、実際には 1 行で入力してください)
注 : この手順を実行すると、1 時間ごとに CRL を CA から Web サーバーに公開するようにスケジュールされたジョブが作成されます。 毎日または半日ごとに Delta CRL の発行がスケジュールされている場合には、これで十分に対処できます。 CRL の発行がこれよりも頻繁にスケジュールされている場合には、コピー ジョブの実行頻度を上げる必要があります。 目安として、コピー ジョブの間隔は、Delta CRL の発行間隔の約 5 ~ 10% にすることをお勧めします。
記憶域管理
記憶域管理は、データの復元と履歴のアーカイブにおけるオンサイトとオフサイトのデータ記憶域に対応します。 記憶域管理チームは、バックアップとアーカイブの物理的なセキュリティを確保する必要があります。 記憶域管理の目的は、IT 運用環境におけるデータやデータ リソースの定義、追跡、および保守を行うことです。
発行 CA データベースのバックアップを構成する
このタスクの目的は、CA 秘密キーと証明書のコピー、証明書データベース、および証明書サービス構成情報をバックアップすることです。 証明書サービス構成情報には、CA が依存するすべてのオペレーティング システム構成およびその他の状態情報が含まれます。
要約情報
セキュリティ要件 : CA のローカル Administrators
実行頻度 : セットアップ タスク
技術要件 :
Windows バックアップ
組織のバックアップ システム
Windows タスク スケジューラ サービス
SchTasks.exe
タスクの詳細
このタスクでは、CA サーバーのシステム状態を夜間にバックアップするようにスケジュールされたジョブを構成します。 この手順は、組織のサーバーのバックアップ システムが現在配備されていることを前提にしています。 このバックアップ処理により作成されたバックアップ ファイルは、組織のバックアップ システムでバックアップできます。 組織のバックアップとしては、ネットワーク バックアップまたはローカル デバイス バックアップが考えられます。 このソリューションでは、組織のサーバー バックアップ システムが毎晩稼動して CA サーバーのディスクをバックアップすることも想定しています。
注 : ハードウェア セキュリティ モジュール (HSM) を使用している場合、この手順で、(HSM の動作によっては) 暗号化されたキー マテリアルをバックアップできますが、通常、このバックアップは、同一の HSM と HSM アクセス キーがなければ復元先のコンピュータでは利用できません。 キー マテリアルとアクセス キーのバックアップ、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
CA バックアップを構成するには
一時バックアップ ファイルを格納するディレクトリ (C:\CABackup など) を作成し、次のコマンドを実行してディレクトリを保護します。
cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C
(このコマンドは表示の都合上複数行で示していますが、実際には 1 行で入力してください)
バックアップ ファイルの保管に別のフォルダを選択する場合は、pkiparams.vbs 内の関連する設定を更新する必要があります。 必要に応じて、次の行のパスを変更します。
"C:\\CABackup" 'path used by NTBackup注 : 同じスクリプト機能がオフラインおよびオンライン CA のバックアップに使用されるため、CA ごとに異なるパスを使用する場合は、スクリプトのコピーを個別に作成する必要があります。
次のコマンドを実行して、バックアップ ジョブを夜間に実行するようにスケジュールします。 このコマンドでは、毎晩午前 2 時にジョブを実行するように設定しています。
SCHTASKS /Create /RU system /SC Daily /TN "CA Backup" /TR "cscript.exe //job:BackupCADatabase \"C:\MSSScripts\ca_operations.wsf\"" /ST 02:00
(このコマンドは表示の都合上複数行で示していますが、実際には 1 行で入力してください)
注 : スクリプト名 C:\MSSScripts\ca_operations.wsf の前後にある円記号とそれに続く引用符 (\") は、このスクリプトのファイル名またはパス名にスペースが含まれる場合にのみ必要です。 円記号はスクリプト名を囲む引用符の "エスケープ" 文字になり、スクリプト名とパスが複数の部分に分割されずに schtasks ジョブ コマンド ラインの単一パラメータとして保存されるようにします。 パス名にスペースが含まれない場合、これらの記号は省略可能です。
一時バックアップ フォルダ (C:\CABackup) の内容を毎晩リムーバブル メディアにバックアップするように組織のサーバー バックアップ システムを構成します。 可能であれば、バックアップ スクリプト ファイルの実行中にロック ファイル (一時バックアップ フォルダに保管されている BackupRunning.lck) が作成されていないかを確認するように前提条件スクリプトを設定してください。 このファイルが存在する場合は、前回のバックアップが失敗しているか、まだ実行中です。 したがって、代わりに、組織のバックアップ システムで CA バックアップ スクリプトを予備実行ジョブとして実行させます。
注 : バックアップ スクリプトの BackupCADatabase を実行するごとに、ロックファイルの有無が確認されます。 ファイルが存在する場合は、スクリプトにより次のエラー イベントがアプリケーション ログに書き込まれます。
ソース : CA Operations
イベント ID: 30
イベントの種類 : エラー
前回のジョブによるロック ファイル C:\CABackup\BackupRunning.lck がまだ存在しているため、CA バックアップは開始できませんでした。 つまり、前回のバックアップがまだ実行中の可能性があります。
組織のサーバー バックアップ システムに、前提条件の確認を実行する機能やスクリプトを実行する機能がない場合は、サーバー バックアップをシステム状態バックアップの開始後に適宜開始するようにスケジューリングしてください。 サーバー バックアップに割り当てる時間を見積もるには、証明書サービスがシャットダウンしたサーバーでシステム状態バックアップを (verify を有効にして) 実行します (CA をシャットダウンしておけば、このテスト バックアップのために CA ログが切り詰められないで済みます)。これにより、約 500 MB のシステム状態データがバックアップされます。 この処理の時間を計測し、CA データベースおよびシステム状態のおよそのバックアップ時間を次の式で算出します。
バックアップ時間 = システム状態の単独のバックアップ時間 x (500 + (ユーザー数 x 証明書数 x 20 KB x 2)) / 500
この式では、アーカイブする前に、ユーザーとコンピュータごとに年間 5 つの証明書が 5 年間分保管されていることを想定しています。 1 つの証明書につき 20 KB 使用する場合、ユーザーごとに 1 MB の記憶域が必要になります。 たとえば、システム状態の単独のバックアップ時間が 10 分であれば、3,000 ユーザーの CA では 70 分になります。 この計算はおおよそのものです。50,000 個の証明書につき 1 GB と概算することもできます。
注 : キーのアーカイブを使用している場合は、証明書とアーカイブされたキーを保存する必要があるため、証明書の記憶域要件はさらに大きくなります。 この場合は、証明書ごとにさらに 10 KB の記憶域を確保する必要があります (CA で多数のキー回復エージェントを構成している場合は、さらに多くの記憶域が必要になります)。
バックアップ メディアを適切に保管します。
注意 : このバックアップ データは、CA の秘密キーを含んでいるため、扱いには細心の注意を払う必要があります。 CA の場合と同様の注意とセキュリティで、バックアップ データの転送や保管を行う必要があります。 バックアップ データは、CA とは物理的に異なるサイトに保管してください。別のサイトに保管することで、CA のサイトのコンピュータ設備がすべて破壊されたり、設備にアクセスできなくなった場合でも、CA を回復することができます。
ルート CA データベースのバックアップを構成する
このタスクの目的は、CA の秘密キーと証明書、証明書データベース、および証明書サービス構成情報をバックアップのために準備することです。 証明書サービス構成情報には、CA が依存するすべてのオペレーティング システム構成およびその他の状態情報が含まれます。
要約情報
セキュリティ要件 : CA のローカル Administrators
実行頻度 : セットアップ タスク
技術要件 :
Windows バックアップ
リムーバブル メディア (CD-RW やテープなど)
タスクの詳細
通常、ルート CA は証明書を少量しか発行しないので、データ サイズが大きくなることはありません。 データは不定期に、おそらくは数年に一度だけ変更されます。 手順は、中間 CA を使用する場合のオフライン中間 CA など、その他のオフライン CA に対するものと同じです。
ルート CA はオフラインであるため、何らかのローカル バックアップ デバイスが必要です (バックアップ ファイルを格納するためのテープ ドライブや書き込み可能 CA など)。
注意 : HSM を使用している場合、この手順により暗号化キーがバックアップされる可能性がありますが (HSM のしくみによって異なります)、通常、これは同一の HSM および HSM アクセス キーがなければ復元されたコンピュータ上で使用できません。 キー マテリアルとアクセス キーのバックアップ、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
CA バックアップを構成するには
バックアップ ファイルを格納するディレクトリ (C:\CABackup など) を作成し、次のコマンドを実行してディレクトリを保護します。
cacls c:\CABackup /G system:F administrators:F "Backup Operators":C "CA Backup Operators":C
(このコマンドは表示の都合上複数行で示していますが、実際には 1 行で入力してください)
バックアップ ファイルの保管に別のフォルダを選択する場合は、pkiparams.vbs 内の関連する設定を更新する必要があります。 必要に応じて、次の行のパスを変更します。
CONST SYSSTATE_BACKUP_PATH = "C:\CABackup" 'path used by NTBackup
ルート CA データベースをバックアップする
このタスクの目的は、バックアップする CA 秘密キーおよび証明書、証明書データベース、および証明書サービス構成情報のバックアップ コピーを作成することです。 証明書サービス構成情報には、CA が依存するすべてのオペレーティング システム構成およびその他の状態情報が含まれます。
要約情報
セキュリティ要件 : CA Backup Operators
実行頻度 : 新しい証明書が発行されるたび、または失効になるたび
技術要件 :
Windows バックアップ
リムーバブル メディア (CD-RW やテープなど)
タスクの詳細
通常、ルート CA は証明書を少量しか発行しないので、データ サイズが大きくなることはありません。 データは不定期に、おそらくは数年に一度だけ変更されます。 手順は、中間 CA を使用する場合のオフライン中間 CA など、その他のオフライン CA に対するものと同じです。
ルート CA はオフラインなので、ローカル バックアップ デバイス (テープ ドライブや書き込み可能 CA など) が必要になります。
注意 : HSM を使用している場合、この手順により暗号化キーがバックアップされる可能性がありますが (HSM のしくみによって異なります)、通常、これは同一の HSM および HSM アクセス キーがなければ復元されたコンピュータ上で使用できません。 キー マテリアルとアクセス キーのバックアップ、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
ルート CA をバックアップするには
次のコマンドを実行して、CA データを一時ファイルにバックアップします。
cscript //job:BackupCADatabase C:\MSSScripts\ca_operations.wsf
このコマンドにより、上記で選択したパス (規定のパスは C:\CABackup) にバックアップ ファイル CABackup.bkf が生成されます このファイルをリムーバブル メディアにコピーし、このリムーバブル メディアを適切に保管してください。
注意 : このバックアップ データは、CA の秘密キーを含んでいるため、扱いには細心の注意を払う必要があります。 CA の場合と同様の注意とセキュリティで、バックアップ データの転送や保管を行う必要があります。 バックアップ データは、CA 自体とは物理的に異なるサイトに保管してください。別のサイトに保管することで、CA のサイトのコンピュータ設備がすべて破壊されたり、設備にアクセスできなくなった場合でも、CA を回復することができます。
CA キーおよび証明書をバックアップする
CA 証明書およびキーは、証明書データベースとは別にバックアップする必要があります。 CA 秘密キーおよび証明書は、CA サーバーに障害が発生し、十分な時間をかけて回復できない場合に、CRL または証明書に署名するときに必要になります。
要約情報
セキュリティ要件 : CA Backup Operators
実行頻度 : 毎年、または CA 証明書が更新されるたび (どちらか早い方)
技術要件 :
Certutil.exe
MSS スクリプト
タスクの詳細
CA キーと証明書は、2、3 KB の記憶域しか消費しないので、ディスクに保存できます。 このタスクは、組織内のルート CA および任意の中間 CA と発行 CA に適用されます。 キーを CD や DVD などの長期記憶メディアにバックアップしている場合は、毎年バックアップする必要はありません。 フロッピー ディスクやテープなどの磁気メディアを使用している場合は、毎年および CA 証明書が更新されたときにキーと証明書をバックアップすることをお勧めします。 磁気メディアに記録された信号は、時間の経過とともに減衰します。特に電界にさらされている場合はこれが顕著です。 磁気メディアに記録された信号が減衰して読み取り不能になるまでには長い年数がかかりますが、用心に用心を重ねることが重要です。
注意 : HSM を使用している場合、この手順は説明どおりに動作しません。 キー マテリアルとアクセス キーのバックアップ、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
証明書とキーをディスクにエクスポートするには
次のコマンドを実行します。
cscript //job:BackupCAKeys c:\MMSScripts\ca_operations.wsf
異なるディスクに少なくとも 2 つ別々にバックアップします (ディスクは必ずしも 100 パーセント信頼できるわけではありません)。 ディスクが次に必要になるまでにかなり時間が経つ可能性があるため、適宜ディスクのラベルと日付がすぐわかるようにしておきます。
このスクリプトでは、certutil.exe を使用して CA キーおよび証明書を次の場所にある PKCS#12 (P12) ファイルにエクスポートします。
A:\CAKeyBackup\CAComputerName\yymmdd_hhmm\CA Common Name.p12
CAComputerName は CA のホスト名で、yymmdd_hhmm はバックアップの日付と時刻です。
要求された場合は、パスワードを入力します。
重要 : このパスワードを記録して、バックアップしたキーとは別の安全な場所に保管します。 パスワードの記録には、関連するバックアップ (ディスク ラベル、日付、CA 名) を明確に示しておく必要があります。 こうしたキーが次に必要になるまでには何か月または何年も経っている可能性があるため、その当時にどのパスワードを使用していたかを誰かが覚えているとはかぎりません。 このパスワードの他のすべての記録は必ず破棄してください。 管理スタッフに知られているパスワードは使用しないでください。
ディスクを適切に保管します。 CA データベース バックアップと同様に、このキー バックアップでも最高のセキュリティを確保する必要があります。 証明書とキーの少なくとも 2 つのバックアップを安全な 2 か所 (金庫など) に保管します。
CA データベースのバックアップをテストする
CA バックアップを調べて、バックアップ プロセスおよびテクノロジが正しく実行されていることを確認します。
要約情報
セキュリティ要件 : テスト コンピュータのローカルの Administrators または Backup Operators
実行頻度 :
CA が運用状態になる前
毎月
バックアップのテクノロジまたはプロセスが変更された場合に再テスト
技術要件 :
Windows バックアップ
組織のバックアップ システム
Certutil.exe
Cipher.exe
タスクの詳細
システム状態バックアップを、同じディスク レイアウトのシステムに復元する必要があります。 たとえば Windows は、バックアップされたシステムと同じディレクトリ パスにインストールされる必要があります。また、Windows ファイル (ページング ファイルなど)、CA データベース、およびログが格納されるドライブ レイアウトは、バックアップされた元の CA と同じである必要があります。
重要 : 復元されるテスト サーバーは、システム状態バックアップ ファイルがバックアップ メディアから回復されたときから、システム状態復元が開始される直前まで、オフラインである必要があります。 このようにネットワークから分離するのは、復元された CA キーが公開されるのを防ぐためですが、テスト サーバーと元のサーバーとの間で重複する名前や IP アドレスの衝突が発生することも防ぎます。
警告 : HSM を使用している場合、この手順では CA を完全に復元できません。 HSM のしくみによって異なりますが、復元されたコンピュータは、同一の HSM および HSM アクセス キーがないと使用できません。 通常のテストであればこれで十分ですが、定期的に HSM 回復による完全な復元を実行して、手順およびバックアップ テクノロジが適切に動作していることを確認してください。 キー マテリアルとアクセス キーのバックアップ、復元、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
CA を復元するには
バックアップ メディアから C:\CABackup フォルダに、システム状態バックアップ ファイルを復元します。
Windows バックアップ ユーティリティを実行し、C:\CABackup 内の復元されたバックアップ ファイルを選択します。 このとき、そのコンピュータでバックアップ権利と復元権利を持つグループのメンバである必要があります (CA Backup Operators、Backup Operators、Administrators など)。
[復元] をクリックします。
システムを再起動します。
すべてが予想どおりに実行されていることを確認します。
テストの最後に、テスト サーバーのディスクの内容 (少なくともキー) を完全に削除します。
キーのみを削除する場合は、CA キー コンテナを削除してから、ディスクの未割り当て部分を完全に削除します。 この操作を実行するには、ローカル Administrators グループのメンバである必要があります。
復元された CA キーを完全に削除するには
次のコマンドを使用して、テスト サーバーのキー コンテナを一覧表示します。
Certutil –key
CA の名前と一致するコンテナをすべてメモします (インデックス サフィックスも含む)。 たとえば、「Woodgrove Bank Issuing CA 1(1)」のようにメモします。
次のコマンドを使用して、メモしたキー コンテナすべてをテスト サーバーから削除します。KeyContainerName は、上記の手順でメモした値に置き換えます。
Certutil –delkey KeyContainerName
ドライブの未割り当て部分を完全に消去し、キー データをディスクから完全に削除します。 次のコマンドを使用して、キー マテリアルが格納されているドライブ上で cipher コマンドが動作するようにパス %allusersprofile% を指定します。
Cipher /W:%AllUsersProfile%
CA キーのバックアップをテストする
いつでも使用できるように、CA キー バックアップが有効であることを定期的に確認します。
要約情報
セキュリティ要件 : テスト コンピュータのローカル Administrators
実行頻度 :
セットアップ タスク (CA が運用状態になる前)
6 か月ごと
技術要件 :
Certutil.exe
Cipher.exe
タスクの詳細
CA キーおよび証明書は、どのシステムにもインストールできます。 ただし、オフライン ルート CA キーの場合は、その性質上機密性がかなり高いため、特に信頼されたオフライン システムにインストールする必要があります。 キー マテリアルのすべての痕跡をコンピュータから確実に削除するには、そのための一時的なローカル ユーザー アカウントを作成する必要があります (このアカウントには任意の名前を使用できます)。
注意 : HSM を使用している場合、この手順は説明どおりに動作しません。 キー マテリアルとアクセス キーのバックアップ、復元、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
CA キーを復元するには
コンピュータがネットワークから切断されていることを確認します。 ローカル Administrators のメンバとしてログオンし、TestCAKeys ローカル ユーザー アカウントを作成します。
TestCAKeys アカウントを使用してログオンします。
テストする CA キー バックアップを格納したディスクを挿入します。
エクスプローラを使用して P12 キー ファイルのある場所に移動し、ファイルをダブルクリックします。 証明書のインポート ウィザードが起動します。
要求された場合は、パスワードを入力します。 キーに対して高い保護を設定するためのチェックボックス、または CA キーをエクスポート可能にするためのチェックボックスをオフにします。
[証明書をすべて次のストアに配置する] をクリックして、[参照] をクリックし、CA キーの復元場所として個人ストアを選択します。
[証明書] MMC スナップインを開き、個人ストアを参照します。 復元された CA の CA 証明書を検索して、CA 証明書を開き、対応する秘密キーがあることを確認します (秘密キーの有無は [全般] タブの一番下に表示されます)。
復元されたキーをテストするには
テストする CA によって発行された CRL または証明書を取得します。
前の手順で CRL または証明書のどちらを選択したかによって、次のいずれかのコマンドを実行します。CRLFileName または CertFileName は、手順 1 で取得したファイルの名前に置き換えます。
Certutil -sign CRLFileName.crl NewCRL.crl
Certutil -sign CertFileName.cer NewCertFile.cer
CA 証明書の入力を要求するメッセージが表示されたら、署名の証明書として前の手順でインポートした CA 証明書を選択します。
次の certutil コマンドを実行して、署名処理が正しく完了したことを確認します。 コマンドからの出力は次のようになります。
C:\CA>Configcertutil -sign "Woodgrove Bank Issuing CA 1.crl" "Woodgrove Bank Issuing CA 1xxs.crl"
ThisUpdate: 03/02/10 22:52
NextUpdate: 2/25/2003 3:11 PM
CRL Entries: 0
Signing certificate Subject:
CN=Woodgrove Bank Issuing CA 1
DC=woodgrovebank,DC=com
Output Length = 970
CertUtil: -sign command completed successfully.
ここで、テスト システムからキーを削除する必要があります。
システムからキーを削除するには
ローカル Administrators のメンバとしてログオンし、[マイ コンピュータ] の [詳細プロパティ] を使用して TestCAKeys アカウントのユーザー プロファイルを削除します。
TestCAKeys アカウントを削除します。
次のコマンドを実行して、キーの痕跡を完全に削除できるようにディスクの未割り当て領域を確実に消去します。
Cipher /W:%AllUsersProfile%
注 : パスに %allusersprofile% を指定することで、Cipher.exe がユーザー プロファイルを保存したドライブ上で確実に実行されるようにします。 これにより、指定したパスだけでなくドライブ全体が消去されます。
CA からのセキュリティ監査データをアーカイブする
法律または規制の要件、または社内のセキュリティ ポリシーに従って、監査ログをアーカイブおよび保管します。
要約情報
セキュリティ要件 :
CA Auditors
CA のローカル Administrators
実行頻度 :
毎月 (発行 CA)
6 か月ごと (ルート CA)
技術要件 :
イベント ビューア
リムーバブル メディア (CD-RW やテープなど)
タスクの詳細
セキュリティ イベント ログをアーカイブするには
CA Auditors およびローカル Administrators のメンバとしてサーバーにログオンします (両方のグループのメンバであるアカウントを作成します)。
イベント ビューアを起動します ([スタート]、[すべてのプログラム]、[管理ツール] の順にクリックします)。
[セキュリティ ログ] フォルダをクリックして選択します。
フォルダを右クリックし、ドロップダウン メニューの [ログ ファイルの名前を付けて保存] をクリックします。
ログを一時ファイルに保存します。
リムーバブル メディア (CD-RW) にコピーし、一時ファイルを削除します。
Active Directory から証明書テンプレートをエクスポートする
ディレクトリの証明書テンプレート定義を保存しておくと、その定義を将来復元する場合でもディレクトリ全体を復元しないで済みます。
要約情報
セキュリティ要件 : Domain Users
実行頻度 : 必要に応じて
技術要件 :
Idifde.exe
[証明書テンプレート] MMC スナップイン
タスクの詳細
この手順により、証明書テンプレート Active Directory オブジェクトをファイルに簡単にエクスポートできます。 エクスポートしたオブジェクトは、必要に応じてディレクトリにインポートできます。 この方法では、テンプレート オブジェクトの LDAP 情報のみが保存されます。 他の情報、特にセキュリティ情報 (所有権、アクセス許可情報など) は、このプロセスでは保持されません。
注 : Active Directory オブジェクトのバックアップおよび復元方法として完全にサポートされているのは、Windows システム状態バックアップなどの専用のディレクトリ バックアップ メソッドを使用する方法です。 ただし、変更されたオブジェクトの古いバージョンを復元するには、複雑な手順である Active Directory Authoritative Restore が必要です。 この手順は、証明書テンプレート オブジェクトのスナップショットをバックアップおよび復元するだけの簡単な方法です。
証明書テンプレート オブジェクトをエクスポートするには
バックアップするテンプレート名を確認します。 この名前は、テンプレートの表示名と異なる名前である場合があります。 [証明書テンプレート] MMC スナップインを使用して、テンプレートの [全般] タブのテンプレート プロパティを参照して、[テンプレート名] と [テンプレートの表示名] を確認します。
ドメイン ユーザー アカウントを使用して、ドメイン メンバ サーバーまたはドメイン コントローラにログオンします。
次のコマンドを実行して、テンプレートの詳細をファイル emplatename.ldif に保存します。templatename は証明書テンプレートの名前、DC=woodgrovebank,DC=com は自分のフォレストの DN に置き換えます。
ldifde -f templatename.ldif -d "cn=templatename, cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,DC=woodgrovebank,DC=com"
(このコマンドは表示の都合上複数行で示していますが、実際には 1 行で入力してください)
templatename.ldif ファイルは現在のディレクトリに保存されます。 templatename.ldif ファイルを安全な場所に保管します。
Active Directory へ証明書テンプレートをインポートする
テンプレートに不要な変更を加えたときに元に戻すには、保存しておいた証明書テンプレート定義を Active Directory にインポートして、バックアップからテンプレートを復元します。
要約情報
セキュリティ要件 : Enterprise PKI Admins
実行頻度 : 必要に応じて
技術要件 : Idifde.exe
タスクの詳細
この手順は、ファイルから証明書テンプレート定義を復元する方法です。 ファイルは「Active Directory から証明書テンプレートをエクスポートする」の手順を使用して作成しておく必要があります。この方法は、テンプレート オブジェクトの LDAP 情報のみを復元します。 他の情報、特にセキュリティ情報 (所有権、アクセス許可など) は、このプロセスでは保持されません。
注 : Active Directory オブジェクトのバックアップおよび復元方法として完全にサポートされているのは、Windows システム状態バックアップなどの専用のディレクトリ バックアップ メソッドを使用する方法です。 ただし、変更されたオブジェクトの古いバージョンを復元するには、複雑な手順である Active Directory Authoritative Restore が必要です。 この手順は、証明書テンプレート オブジェクトのスナップショットをバックアップおよび復元するだけの簡単な方法です。
この手順は、Active Directory のバックアップおよび復元の代わりになるものではありません。説明している特定の状況以外では使用しないでください。
証明書テンプレート オブジェクトをインポートするには
「Active Directory から証明書テンプレートをエクスポートする」の手順でエクスポートしたテンプレート定義ファイルを用意します。
Enterprise PKI Admins のメンバとしてドメイン メンバ サーバーまたはドメイン コントローラにログオンします。
既存のテンプレートを置き換える場合は、上記の手順を使用して不要なテンプレートのバックアップを作成します。次に、テンプレートのアクセス許可をメモしてから、このテンプレートを削除します。
メモ帳または同様のテキスト エディタでファイルを開き、"objectGUID:" で始まる行を検索します。 たとえば、次のような行になっています (ただし、コロンに続く文字列は異なります)。
objectGUID:: b/pVt//+I0i9hp8aJ7IWRg==
この行を削除し、ファイルにその他の変更を加えないように注意して、ファイルを保存します。
次のコマンドを実行し、ファイル templatename.ldif から Active Directory にテンプレートをインポートします。このとき、templatename は証明書テンプレートの名前に置き換えます。
ldifde -f templatename.ldif -i
[証明書テンプレート] MMC を起動し、復元されたテンプレートを表示して、手順が正しく実行されたことを確認します。
手順 3 でメモしておいたアクセス許可、または復元されたテンプレートに必要なアクセス許可を適用します。
サービスの監視と管理
サービス監視により、運用スタッフが、リアルタイムで IT サービスの健全性を監視できます。
ここで Microsoft Operations Manager (MOM) について述べている場合は、「MOM Operations Guide」のガイドラインに従って MOM がインストールされていることを前提としています。 ただし、MOM は必須ではありません。単に説明のために使用されています。 「MOM Operations Guide」の詳細については、この章の最後にある「関連情報」を参照してください。
監視の警告を分類する
監視システムでは、運用スタッフに最も重要な警告だけを発する必要があります。 比較的重要でないエラーがすべてエスカレートされて障害警告が生成されると、運用スタッフは混乱し、どれが緊急で、どれが緊急でないか直ちに判断できなくなります。
要約情報
セキュリティ要件 : なし
実行頻度 : セットアップ タスク
技術要件 : 操作警告コンソール (MOM など)
タスクの詳細
この章では、次の警告カテゴリが使用されます。 カテゴリの上位 3 つ (サービスは利用できない、セキュリティ違反、および致命的なエラー) だけをオペレータ コンソールに警告表示して、速やかに注意を喚起する必要があります。 エラーと警告は緊急ではないため、PKI 運用サポート スタッフで解決します。 これらのイベント カテゴリは MOM が使用する既定値です。このセクションの次のタスクの説明で参照しています。
表 11.9: 警告カテゴリ
| 警告カテゴリ | 説明 |
|---|---|
| サービスは利用できない | アプリケーションまたはコンポーネントが完全に利用できない場合。 |
| セキュリティ違反 | アプリケーションがハッキングされている場合またはセキュリティを侵害された場合。 |
| 致命的なエラー | アプリケーションで、早急な (ただし即時とは限らない) 管理措置の必要な重大なエラーが検出された場合。 アプリケーションまたはコンポーネントは、標準以下のレベルのパフォーマンスで動作していますが、それでもほとんどの重要な操作を実行できます。 |
| エラー | アプリケーションで、即時の管理措置や解決を必要としない一時的な問題が検出された場合。 アプリケーションまたはコンポーネントは、許容レベルのパフォーマンスで動作していますが、それでもほとんどの重要な操作を実行できます。 |
| 警告 | アプリケーションで、即時の管理措置や解決を必要としない警告メッセージが生成された場合。 アプリケーションまたはコンポーネントは、許容レベルのパフォーマンスで動作していますが、それでもほとんどの重要な操作を実行できます。 ただし、問題が続く場合は、この状況が "エラー"、"致命的なエラー"、または "サービスは利用できない" に移行する可能性があります。 |
| 情報 | アプリケーションが情報イベントを生成した場合。 アプリケーションまたはコンポーネントは、許容レベルのパフォーマンスで動作しており、重要な操作や重要でない操作を実行しています。 |
| 成功 | アプリケーションが成功イベントを生成した場合。 アプリケーションまたはコンポーネントは、許容レベルのパフォーマンスで動作しており、重要な操作や重要でない操作を実行しています。 |
| パフォーマンス オブジェクト | パフォーマンス カウンタ | インスタンス |
|---|---|---|
| Processor | % Processor Time | _Total |
| Physical Disk | % Disk Time | _Total |
| Physical Disk | Avg. Disk Read Queue Length | _Total |
| Physical Disk | Avg. Disk Write Queue Length | D: (CA–DB) C: (CA–Log) |
| Network Interface | Bytes Total/sec | NW adapter |
| Memory | % Committed Bytes in use | ––– |
| 証明書サービス ステータス | 意味 | 重大性 |
|---|---|---|
| CRL の期限切れ | 有効な CRL にアクセスできません。これにより、現在サービスが停止しています。 | サービス使用不可 |
| CRL の延着 | CRL はまだ有効だが、既に公開されたはずの新しい CRL が延着しています。 | 緊急 (Critical) |
| CRL 使用不可 サブイベント : Active Directory から CRL を取得できない Web サーバーから CRL を取得できない |
CRL が、公開された CRL 配布ポイントで利用できません。 これにより、サービスが停止している可能性があります。 | 緊急 (Critical) |
| CA サーバーの障害 | サーバーがネットワーク上に表示されていません。 | サービス使用不可 |
| 致命的な状態の CA オペレーティング システムの健全性 | 基盤となるサーバー ハードウェアまたは Windows での重要な問題。 | 緊急 (Critical) |
| エラーまたは警告状態の CA オペレーティング システムの健全性 | 基盤となるサーバー ハードウェアまたは Windows での重要でない問題。 | エラーまたは警告 (MOM 規則による) |
| 証明書サービスがオンラインでない サブイベント : クライアント インターフェイス オフライン 管理インターフェイス オフライン |
証明書サービス リモート プロシージャ コール (RPC) インターフェイスがオフラインです。証明書を発行できません。 | 緊急 (Critical) |
| CA 証明書の期限切れ サブイベント : この CA 証明書の期限切れ 親 CA 証明書の期限切れ |
CA 証明書の期限が切れています。 これにより、現在サービスが停止しています。 | サービス使用不可 |
| CA 証明書の残存有効期間が 1 か月未満 | CA 証明書はまもなく期限切れとなり、修正されない場合はサービスが停止します。 非常に短い有効期間の証明書のみが現在発行されています。 | エラー |
| CA 証明書の有効期間が半分未満 | CA 証明書は、有効期間の半分に達したときに更新する必要があります。 これは、予想より短い有効期間の証明書が発行されていることを意味する場合があります。 | 警告 |
| CA バックアップの失敗 | CA のシステム状態のバックアップが失敗しました。情報が失われた可能性があります。 | 致命的またはエラー |
| イベント | スクリプトまたは検出方法 | ソースおよび イベント ID |
|---|---|---|
| CRL の期限切れ | スクリプト : Ca_monitor.wsf ジョブ : CheckCRLs |
CA Operations 20 |
| CRL の延着 | スクリプト : Ca_monitor.wsf ジョブ : CheckCRLs |
CA Operations 21 |
| CRL 使用不可 サブイベント : Active Directory から CRL を取得できない Web サーバーから CRL を取得できない |
スクリプト : Ca_monitor.wsf ジョブ : CheckCRLs |
CA Operations 22 23 |
| CA サーバーの障害 | MOM にネイティブのサーバー障害検出 | |
| 致命的な状態の CA オペレーティング システムの健全性 | MOM にネイティブのサーバーの健全性監視 | |
| エラーまたは警告状態の CA オペレーティング システムの健全性 | MOM にネイティブのサーバーの健全性監視 | |
| 証明書サービスのサービス起動 サブイベント : クライアント インターフェイス オフライン 管理インターフェイス オフライン |
スクリプト : Ca_monitor.wsf ジョブ : IsCAAlives |
CA Operations 1 2 |
| CA 証明書の期限切れ サブイベント : この CA 証明書の期限切れ 親 CA 証明書の期限切れ |
スクリプト : Ca_monitor.wsf ジョブ : CheckCACerts |
CA Operations 10 |
| CA 証明書の残存有効期間が 1 か月未満 | スクリプト : Ca_monitor.wsf ジョブ : CheckCACerts |
CA Operations 11 |
| CA 証明書の有効期間が半分未満 | スクリプト : Ca_monitor.wsf ジョブ : CheckCACerts |
CA Operations 12 |
| CA バックアップのロック (バックアップ スクリプトは、以前のバックアップからのロック ファイルがまだあるため、実行できませんでした) | スクリプト : Ca_operations.wsf ジョブ : BackupCADatabase |
CA Operations 30 |
| CA バックアップの失敗 | NTBackup.exe の失敗コードがここに与えられますが、バックアップの問題に関する警告については、MOM またはその他の監視システムの機能に依存します (システム状態バックアップと組織バックアップの両方をチェックする必要があります)。 | Ntbackup 8019 |
| その他のイベント | Ca_monitor.wsf 実行失敗 | CA Operations 100 |
'String used as the Source in event log events CONST EVENT_SOURCE= "MSS Tools" CONST CA_EVENT_SOURCE= "CA Operations"
'CA Event IDs CONST CA_EVENT_CS_RPC_OFFLINE=1 CONST CA_EVENT_CS_RPC_ADMIN_OFFLINE=2 CONST CA_EVENT_CA_CERT_EXPIRED=10 CONST CA_EVENT_CA_CERT_NEARLY_EXPIRED=11 CONST CA_EVENT_CA_CERT_RENEWAL_DUE=12 CONST CA_EVENT_CRL_EXPIRED=20 CONST CA_EVENT_CRL_OVERDUE=21 CONST CA_EVENT_CRL_NOT_AVAILABLE_LDAP=22 CONST CA_EVENT_CRL_NOT_AVAILABLE_HTTP=23 CONST CA_EVENT_BACKUP_LOCKED=30 CONST CA_EVENT_CA_OTHER=100
エラーによって電子メールによる警告またはイベント ログ エントリ、あるいはその両方を生成するかどうかを指定する必要があります。 既定の設定はイベント ログ エントリのみです。 電子メールによる警告を指定する場合は、有効な電子メール受信者リスト (コンマ区切り)、および SMTP サーバーのホスト名または IP アドレスを*指定する必要があります*。 これらの文字列はどちらも、引用符で囲む必要があります。
イベント ログ警告を指定する場合は、パラメータ CA\_EVENT\_SOURCE (すべての CA 関連イベントに使用) または EVENT\_SOURCE (すべての CA 関連以外のイベントに使用) を変更することができます。
監視スクリプトの構文と使用法については、次のセクションで説明します。
**CA 証明書の有効期限をチェックするには**
次のコマンドを実行して、発行 CA (スクリプトを実行する CA) の証明書、および任意の親 CA とその上位のすべての CA (ルート CA を含む) の公開済み証明書を確認します。
Cscript //job:CheckCACerts C:\\MSSScripts\\ca\_monitor.wsf
このコマンドにより、次の状況が発生した場合に警告が生成されます。
- CA 証明書の有効期限が切れた (イベント ID 12)
- CA 証明書の有効期限切れまで 1 か月未満である (イベント ID 11)
- CA 証明書が有効期間の半分を経過した (イベント ID 12)
**CRL の有効期限を確認するには**
次のコマンドを実行して、発行 CA の CRL 、およびすべての親 CA とその上位の CA (ルート CA を含む) の公開済み CRL を確認します。
Cscript //job:CheckCRLs C:\\MSSScripts\\ca\_monitor.wsf
このコマンドにより、次の状況が発生した場合に警告が生成されます。
- CRL の有効期限が切れた (イベント ID 20)
- CRL が "次に公開されるCRL" の日付をすぎ、有効期限が切れる予定である (イベント ID 21)
- LDAP CDP から CRL を取得できない (イベント ID 22)
- HTTP CDP から CRL を取得できない (イベント ID 23)
このスクリプトでは、FTP および FILE CDP は現時点でチェックされません。
**CA サービスが実行していることを確認するには**
次のコマンドを実行して、スクリプトを実行している CA の状態を確認します。
Cscript //job:IsCAAlive C:\\MSSScripts\\ca\_monitor.wsf
このコマンドにより、次の状況が発生した場合に警告が生成されます。
- CA RPC クライアント インターフェイスが応答していない (イベント ID 1)
- CA RPC 管理インターフェイスが応答していない (イベント ID 2)
##### 証明機関のセキュリティの監視
証明書サービスは、各種セキュリティ イベントに対応してさまざまな監査ログ エントリを生成します。 こうしたエントリのほとんどは日々の処理タスクの結果です。 ただし、一部のイベントは構成に対する重要な変化を示します。これについては詳細に調査する必要があります。
###### 要約情報
- **セキュリティ要件** :
- CA Auditor (セキュリティ ログをレビュー)
- MOM (または同等のシステム) による監視に使用できる専用セキュリティ監視アカウント
- **実行頻度** : セットアップ タスク
- **技術要件** :
- 操作警告コンソール (MOM など)
- イベント ビューア
- Eventquery.vbs (Windows コマンド ライン ツール)
###### タスクの詳細
次の表に、証明書サービスが生成する監査イベントおよび推奨される警告分類を示します。 これらのイベントを検索して適切なレベルの警告を発するよう監視システムを構成します。 また、集中イベント監視システムがない場合は、CA サーバー セキュリティ ログを定期的に (可能であれば毎日) 確認して、これらの項目を確認してください。
成功イベントに対する既定の警告カテゴリは**情報**です。 CA のセキュリティ構成を変更する可能性がある成功イベントは、**警告**として扱われます。 すべての**警告**レベル イベントは、日々の処理では通常起きない重大なイベントであることを示します。 すべての**警告**イベントは、承認済みの変更要求と関連があります。 該当する関連がない場合、そのイベントをセキュリティ違反と見なし、直ちに調査を開始してください。
**失敗**イベントは、日々の処理または CA に対する標準的な変更では通常発生しません。 失敗イベントはすべて重大で、調査が必要です (ただし、権限の割り当てが不適切だっただけで、不審な攻撃ではない場合もあります)。
**注 :** いくつか例外があります。たとえば、イベント 792「**証明書サービスは証明書の要求を拒否しました**」がその 1 つです。 この場合、証明書マネージャにより正当な理由で拒否された要求には成功イベントと失敗イベントが両方生成されますが、権限が不十分なユーザーが要求を拒否しようとした場合は失敗イベントだけが生成されます。
次の一覧のうち次のイベントも例外で、これらは CA 構成のさまざまな変更方法に関連しています。 イベント 789 (監査フィルタの変更) およびイベント 795 と 796 (CA の構成またはプロパティの変更) は、\[証明機関\] MMC スナップインを使用して変更を行った場合のみログに記録されます。 これらのイベントは、ユーザーが CA レジストリを直接編集して (または certutil -setreg コマンドを使用して) CA 構成値を変更しようとした場合にはログに記録されません。 代わりに、これらのイベントは単純にイベント 560 のオブジェクト アクセス監査エラーとして記録されます (次の表の最後のエントリを参照)。 監査は CA レジストリ構成サブキーについて有効になり、正常変更およびすべての失敗アクセスが記録されます。 CA レジストリ キーに対する変更を追跡するには、**イベント ID** および**イベントの種類**とともに監査イベントの**オブジェクト名**パラメータを使用して、正しい警告を生成するためのフィルタを作成します。
証明書サービス イベントを監査するとともに、ログオン イベント、特権の使用、オブジェクト アクセスなど、標準のオペレーティング システム セキュリティ イベントを監視して警告を生成する必要もあります。 CA レジストリ、データベース、およびログ ディレクトリは、あらゆる失敗アクセスおよび正常変更に対して警告を生成するように構成されています。 また、公開キー サービス コンテナ (Configuration\\Services) および PKI 管理者グループも監視対象に含めることを検討する必要もあります。 ドメイン コントローラ間で配信される監査イベントの監視は困難なので、現状ではこのソリューションの対象の一部としては設定されていません。 これらのログを統合してフィルタを適用するシステム (MOM など) がある場合、すべての Active Directory PKI を管理および構成するオブジェクトおよびコンテナに対する監査を有効にしてください。
**注 :** CA オペレーティング システムのセキュリティ監視については、このガイダンスでは説明しません。この操作には、専用の侵入検知エージェントからのセキュリティ イベントの処理が必要となります。 これらのいずれかのソースにセキュリティ違反の疑いがある場合は、証明機関監査イベントをこれらのソースの出力とともに徹底的に調査します。
次の表の成功および失敗の警告カテゴリは、「監視の警告を分類する」の手順で定義されている警告カテゴリに関連しています。
**表 11.13: 証明書サービス監査イベント**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >イベント ID</th>
<th style="border:1px solid black;" >イベントの説明</th>
<th style="border:1px solid black;" >成功の警告カテゴリ</th>
<th style="border:1px solid black;" >失敗の警告カテゴリ</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">772</td>
<td style="border:1px solid black;">証明書マネージャは保留中の証明書要求を拒否しました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">773</td>
<td style="border:1px solid black;">証明書サービスは再送信された証明書要求を受信しました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">774</td>
<td style="border:1px solid black;">証明書サービスは証明書を失効化しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">775</td>
<td style="border:1px solid black;">証明書サービスは、証明書失効リスト (CRL) を公開する要求を受信しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">警告</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">776</td>
<td style="border:1px solid black;">証明書サービスは証明書失効リスト (CRL) を公開しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">777</td>
<td style="border:1px solid black;">証明書の要求拡張が変更されました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">778</td>
<td style="border:1px solid black;">証明書の要求属性が変更されました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">779</td>
<td style="border:1px solid black;">証明書サービスはシャットダウンの要求を受信しました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">780</td>
<td style="border:1px solid black;">証明書サービスのバックアップが開始されました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">781</td>
<td style="border:1px solid black;">証明書サービスのバックアップを完了しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">782</td>
<td style="border:1px solid black;">証明書サービスの復元が開始されました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">783</td>
<td style="border:1px solid black;">証明書サービスの復元を完了しました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">784</td>
<td style="border:1px solid black;">証明書サービスは開始されました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">785</td>
<td style="border:1px solid black;">証明書サービスは停止されました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">786</td>
<td style="border:1px solid black;">証明書サービスのセキュリティのアクセス許可が変更されました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">787</td>
<td style="border:1px solid black;">証明書サービスはアーカイブされたキーを取得しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">788</td>
<td style="border:1px solid black;">証明書サービスは証明書をデータベースにインポートしました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">警告</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">789</td>
<td style="border:1px solid black;">証明書サービスの監査フィルタが変更されました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">790</td>
<td style="border:1px solid black;">証明書サービスは証明書の要求を受信しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">791</td>
<td style="border:1px solid black;">証明書サービスは証明書の要求を許可し、証明書を発行しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">792</td>
<td style="border:1px solid black;">証明書サービスは証明書の要求を拒否しました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">793</td>
<td style="border:1px solid black;">証明書サービスは証明書の要求の状態を保留に設定しました</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">794</td>
<td style="border:1px solid black;">証明書サービスの証明書マネージャの設定が変更されました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">795</td>
<td style="border:1px solid black;">証明書サービスの構成エントリが変更されました</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード :<br />
エントリ : CRLPeriod、CRLPeriodUnits、CRLDeltaPeriod、CRLDeltaPeriodUnits<br />
CRL 公開スケジュールの変更を説明します。 CRLDeltaPeriodUnits の値が 0 の場合、Delta CRL 公開は無効になっています</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード : PolicyModules\CertificateAuthority_Microsoft<br />
Default.Policy<br />
エントリ : RequestDisposition<br />
値 : 1<br />
特に指定がない限り、CA が受信した要求を発行するよう設定します。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード : PolicyModules\CertificateAuthority_Microsoft<br />
Default.Policy<br />
エントリ : RequestDisposition<br />
値 : 257<br />
CA が受信した要求を保留にするよう設定します。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード : ExitModules\CertificateAuthority_Microsoft<br />
Default.Exit<br />
エントリ : PublishCertFlags<br />
値 : 1<br />
証明書のファイル システムへの公開を許可します。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード : ExitModules\CertificateAuthority_Microsoft<br />
Default.Exit<br />
エントリ : PublishCertFlags<br />
値 : 0<br />
証明書のファイル システムへの公開を拒否します。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード : ExitModules<br />
エントリ : Active<br />
アクティブな終了モジュールが変更されました。 値に新しいモジュールの名前が指定されます。 空欄の場合は何もないことを示します。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード : PolicyModules<br />
エントリ : Active<br />
アクティブなポリシー モジュールが変更されました。 値に新しいモジュールの名前が指定されます。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">ノード :<br />
エントリ : CRLPublicationURLs<br />
CDP または AIA が変更されました。 値には CDP の結果セットが指定されます。</td>
<td style="border:1px solid black;">ノード :<br />
エントリ : CACertPublicationURLs<br />
AIA または CDP が変更されました。 値には AIA の結果セットが指定されます。</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">796</td>
<td style="border:1px solid black;">証明書サービスのプロパティが変更されました (次のサブタイプを参照)。</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">種類 : 4<br />
CA に対するテンプレートの追加/削除。 値は名前および OID 別の結果テンプレートです。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">種類 : 3<br />
KRA 証明書の CA への追加。 値は証明書の Base64 表現です。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">種類 : 1<br />
KRA 証明書の CA からの削除。 値は KRA 証明書数の合計です。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;">種類 : 1<br />
キーのアーカイブに使用する KRA 証明書数の追加/削除。 値は使用する証明書の結果数です。</td>
<td style="border:1px solid black;"> </td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="even">
<td style="border:1px solid black;">797</td>
<td style="border:1px solid black;">証明書サービスはキーをアーカイブしました。</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">798</td>
<td style="border:1px solid black;">証明書サービスはキーをインポートしてアーカイブしました。</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">-</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">799</td>
<td style="border:1px solid black;">証明書サービスは CA 証明書を Active Directory に公開しました。</td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;"> </td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">800</td>
<td style="border:1px solid black;">証明書データベースから 1 つ以上の行が削除されました。</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">801</td>
<td style="border:1px solid black;">役割の分離は有効になっています。</td>
<td style="border:1px solid black;">警告</td>
<td style="border:1px solid black;">エラー</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">560</td>
<td style="border:1px solid black;">オブジェクト アクセス<br />
ここで<br />
オブジェクトの種類 : <strong>キー</strong><br />
オブジェクト名 : <strong>\REGISTRY\MACHINE\SYSTEM\ ControlSet001\Services\CertSvc\Configuration</strong></td>
<td style="border:1px solid black;">情報</td>
<td style="border:1px solid black;">エラー</td>
</tr>
</tbody>
</table>
##### 保留中の証明書要求に対する SMTP 警告を設定する
証明書マネージャによる承認が必要とされるように設定された証明書の種類がある場合、該当する要求が承認されるまで、これらは \[証明機関\] MMC スナップインの \[保留中の要求\] フォルダのキューに置かれます。 要求がキューに置かれるたびに警告が電子メールで送信されるよう構成することができます。 自動的に承認された要求については電子メールによる警告は送信されません。
電子メールによる警告の送信は、他の CA イベントについても構成できます。 これらの構成方法については、証明サービスのオンライン ヘルプを参照してください。
###### 要約情報
- **セキュリティ要件** : CA Admins
- **実行頻度** : セットアップ タスク
- **技術要件** :
- テキスト エディタ
- SMTP サーバーおよび受信者メールボックス
###### タスクの詳細
constants.vbs ファイルで構成され、この手順で使用される SMTP サーバーおよび SMTP 受信者リストの値は、「証明書サービスの健全性と可用性を監視する」の手順で説明している SMTP 警告でも使用されます。 これらの 2 つの手順で SMTP サーバーと受信者の設定を変更して使用する必要がある場合は、constants.vbs の値を一時的に変更して現在の手順を実行できます。 この手順のスクリプトを実行すると、これらの設定が CA レジストリに保存されます。 実行後は、constants.vbs の値を「証明書サービスの健全性と可用性を監視する」手順のスクリプトの監視で使用する値に戻します (この手順で電子メールによる警告を有効または無効にする設定 (ALERT\_EMAIL\_ENABLED) は、これから説明する手順の警告には影響ありません)。
**保留中の要求に対する電子メールによる警告を有効にするには**
1. 電子メールの受信者および SMTP サーバーに関する適切な値をスクリプト ファイル C:\\MSSScripts\\constants.vbs で構成します。
```
'Alerting parameters
' set to comma-separated list of recipients to get email alerts
CONST ALERT_EMAIL_RECIPIENTS= "Admin@woodgrovebank.com,
PKIOps@woodgrovebank.com"
CONST ALERT_EMAIL_SMTP= "mail.woodgrovebank.com" 'SMTP host to use
```
**注 :** このファイルの例の字下げされている行は、表示の都合上、前の行の続きを折り返したものであり、実際のファイル内では 1 行になっています。
2. キューに置かれている保留中の要求に関する電子メール通知を有効にするには、次のコマンドを実行します。
cscript //job:SetupSMTPAlerts C:\\MSSScripts\\ca\_monitor.wsf
#### ジョブのスケジューリング
ジョブのスケジューリングは、ジョブおよびプロセスを常に最も効率的なシーケンスに編成し、システムのスループットおよび使用率を最適化してサービス レベル契約 (SLA) 要件を満たします。 ジョブのスケジューリングは、サービスの監視と管理、および容量管理と密接な関係があります。
##### 発行 CA ジョブのスケジュールを設定する
証明書サービス インフラストラクチャの円滑な運営を維持するには、CA でいくつかのタスクを繰り返し実行する必要があります。 これらのタスクは処理のオーバーヘッドを低減するため自動化されています。
###### 要約情報
- **セキュリティ要件** : CA のローカル Administrators
- **実行頻度** : セットアップ タスク
- **技術要件** :
- Windows タスク スケジューラ
- MOM (必要に応じて)
###### タスクの詳細
次の表は、発行 CA で実行される自動化ジョブの一覧です。 これらのジョブは、この章の別の場所 (**\[参照タスク\]** 列) で説明しているタスクで定義されます。次の表は参照用です。
自動化ジョブが実行されているのは発行 CA だけです。 ルート CA は長期間オフにされる可能性があり、コンピュータ上で安定したスケジューリングを維持できません。
**表 11.14: 発行 CA のスケジュールされたジョブの一覧**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="25%" />
<col width="25%" />
<col width="25%" />
<col width="25%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >ジョブの説明</th>
<th style="border:1px solid black;" >スケジュール</th>
<th style="border:1px solid black;" >実行者</th>
<th style="border:1px solid black;" >参照タスク</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">CA のシステム状態のファイルへのバックアップ</td>
<td style="border:1px solid black;">毎日</td>
<td style="border:1px solid black;">Windows タスク スケジューラ</td>
<td style="border:1px solid black;">発行 CA データベースのバックアップを構成する<br />
ルート CA データベースのバックアップを構成する</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA のバックアップ記憶域へのファイル バックアップ</td>
<td style="border:1px solid black;">毎日 (システム状態のバックアップの後)</td>
<td style="border:1px solid black;">組織のバックアップ スケジューラ</td>
<td style="border:1px solid black;">なし (組織が定義)</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CRL の IIS への公開</td>
<td style="border:1px solid black;">1 時間ごと</td>
<td style="border:1px solid black;">Windows タスク スケジューラ</td>
<td style="border:1px solid black;">発行 CA および証明書を IIS に公開する</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA の状態のオンライン監視</td>
<td style="border:1px solid black;">1 時間ごと</td>
<td style="border:1px solid black;">MOM または Windows タスク スケジューラ</td>
<td style="border:1px solid black;">証明書サービスの健全性と可用性を監視する</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CRL の発行および公開状態の監視</td>
<td style="border:1px solid black;">1 時間ごと</td>
<td style="border:1px solid black;">MOM または Windows タスク スケジューラ</td>
<td style="border:1px solid black;">証明書サービスの健全性と可用性を監視する</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA 証明書の有効性の監視</td>
<td style="border:1px solid black;">毎日</td>
<td style="border:1px solid black;">MOM または Windows タスク スケジューラ</td>
<td style="border:1px solid black;">証明書サービスの健全性と可用性を監視する</td>
</tr>
</tbody>
</table>
#### 追加処理タスク
PKI の保守に関係する処理タスクは、これ以外にも数多くあります。 これらのタスクの多くは定期的に実行する必要はなく、ときどき、またはサポート インシデントの処理の一部として必要となります。
Windows Server 2003 証明書サービスの製品ドキュメントでは、このような多くのタスクと管理に関する背景情報について説明しています。 これらのタスクの多くは、この章や「構築ガイド」の章 (「公開キー基盤を実装する」) では説明していません。 このソリューション ガイドで説明しているタスクについても、製品ドキュメントには役に立つ補足情報が記載されています。
このドキュメントにアクセスするには、この章の最後にある「関連情報」のリンクを参照してください。次の管理タスクの実行手順について説明しています。
- 認証機関サービスの開始および停止
- セキュリティ権限の設定および認証機関の制御の委任
- 認証機関証明書の表示
- 認証機関 Web ページにアクセスするためのセキュリティ設定
- 証明書マネージャの制約の構成
- 外部の Active Directory フォレストでの証明書の公開
- 証明書イベント発生時の電子メール送信
- \[認証機関\] スナップインの使用
- 証明書の失効管理
- スタンドアロン認証機関における証明書要求の管理
- エンタープライズ認証機関で使用する証明書テンプレートの管理
- キーのアーカイブおよび復元の管理
- 認証機関で使用するポリシー設定の変更
- 認証機関で使用するポリシー モジュールまたは終了モジュールの変更
- 役割ベースの管理の管理
[](#mainsection)[ページのトップへ](#mainsection)
### サポート作業領域のタスク
サポート作業領域の SMF には、必要なサービス レベルを維持するために、事後対応型のタスクと事前対応型のタスクの両方が含まれています。 事後対応型の機能は、組織が障害や問題への対応とこれらの解決を迅速に行うためにどのような能力を備えているかに左右されます。 これより望ましい事前対応型の機能は、サービスの中断を防ぐことを目的としています。 事前対応型の機能では、事前に定めたしきい値と照らし合わせてソリューション サービスを監視し、サービス レベルに影響が出る前に問題を特定します。 このため、運用スタッフは潜在的な問題に余裕を持って対応し、解決することができます。
サポート作業領域は、運用作業領域で説明しているサービス制御および SMF の監視に密接に関連しています。 サービス制御と監視は、運用スタッフとサポート スタッフが問題を検出するために必要不可欠な情報を提供します。 ここで説明する手順は、最も一般的なインシデントに対処し、そのインシデントから回復することを目的としています。
ここでは、次のサービス管理機能 (SMF) に関連する情報について説明します。
- インシデント管理
次の SMF に属するタスクはありません。
- 問題管理 (問題の診断については、この章の後半にある「トラブルシューティング」で説明)
- サービス デスク
**注 :** 各タスクの説明には、セキュリティ要件、実行頻度、技術要件などの要約情報を記載します。
#### インシデント管理
インシデント管理は、顧客や IT パートナーから報告された、IT サービスを使用中または実装中に発生した障害や中断を、管理および制御するプロセスです。 インシデント管理の主な目標は、正常なサービス運用への復旧をできる限り迅速に行い、業務に及ぼす悪影響を最小限に抑えることにより、サービス レベルの質と提供状況を最良の状態に保つことです。 "正常なサービス運用" とは、ここでは、SLA の限度内でのサービス運用のことです。
このセクションは「トラブルシューティング」と密接に関連しています。ただし、「トラブルシューティング」は問題の特定と診断に関するものですが、このセクションでは、これらの問題の解決に使用する最も一般的なタスクについて説明しています。
「トラブルシューティング」で説明するインシデントは次のとおりです。
- サーバーが応答しない
- CRL の公開エラー
- CRL が発行されていない
- クライアントが証明書に登録できない
- 再起動が必要なセキュリティの更新がインストールされた
- 永続的なサーバー エラー
- 孤立証明書の失効化が必要
- CRL または証明書の発行に間に合うようにサーバーを復元できない
- End Entity 証明書に危害が加えられた
- 発行 CA 証明書に危害が加えられた
- ルート CA 証明書に危害が加えられた
これらのインシデントのほとんどは、以降のセクションで詳細に説明する手順と直接関係があります。 たとえばクライアント登録エラーなど、これ以外の場合、インシデントへの対応処理はより複雑になります。詳細については、「トラブルシューティング」を参照してください。
##### 証明書サービスのサービスを再起動する
証明書サービスは、運用上のさまざまな理由で再起動が必要になります (たとえば、CA プロパティを数多く再構成した場合、変更を反映させるために証明書サービスの再起動が必要になります)。また、証明書サービスが応答を停止したり予期しない動作をした場合にも再起動する必要があります。
###### 要約情報
- **セキュリティ要件** : CA のローカル Administrators
- **実行頻度** : 必要に応じて
- **技術要件** :
- \[証明機関\] MMC スナップイン
- Net.exe
###### タスクの詳細
サービスを再起動する方法は数多くあり、ここではどれを採用しても問題ありません。
**CA サービスを再起動するには**
1. 該当する CA によるトランザクションに関わっているユーザーが現在いないことを確認します。 時間的な余裕がある場合は、影響を受ける可能性があるユーザーに通知を送信します。
2. \[証明機関\] MMC で、CA オブジェクトを選択します。
3. **\[タスク\]** メニューの **\[サービスの停止\]** をクリックするか、コマンド プロンプトに次のように入力します。
net stop "Certificate Services"
4. **\[タスク\]** メニューの **\[サービスの開始\]** をクリックするか、コマンド ウィンドウに次のように入力します。
net start "Certificate Services"
**注 :** 監査が有効になっている場合、証明書サービスのシャットダウンおよび起動に時間がかかることがあります。データベースが大きい場合は 10 分以上かかることもあります。 監査機能を使用すると、サーバー全体のシャットダウンおよび起動プロセスに時間がかかるようになります。これは、証明書サービスがデータベース全体のハッシュを計算して起動およびシャットダウンの監査エントリを作成するからです。 起動およびシャットダウンが監査対象でない場合は該当しません。
##### CA サーバーを再起動する
CA サーバーは、オペレーティング システムの更新の適用など、数々の運用上の理由で再起動する必要があります。 また、サービスが応答を停止したり予期しない動作をして、サービス再起動手順を使用しても正常に再起動されない場合にも、再起動が必要になります。
###### 要約情報
- **セキュリティ要件** : CA のローカル Administrators
- **実行頻度** : 必要に応じて
- **技術要件** : Net.exe
###### タスクの詳細
**CA サービスを再起動するには**
1. 該当する CA によるトランザクションに関わっているユーザーが現在いないことを確認します。 時間的な余裕がある場合は、影響を受ける可能性があるユーザーに通知を送信します。
2. 可能であれば、次のコマンドを実行して証明書サービスを停止し、シャットダウン中にユーザーが CA に接続できないようにします。
net stop "Certificate Services"
3. 通常のオペレーティング システムの手順に従ってコンピュータを再起動します。 証明書サービスが応答しなくなったことが明確でない限り、証明書サービス プロセスをキャンセルしたり、サーバーの電源をオフにしたりしないでください。 証明書サービスを強制終了すると、証明書サービス データベースが壊れ、バックアップからの復元が必要になる場合があります。
**注 :** 前のタスクで説明したように、起動およびシャットダウン プロセスを監査対象にすると、証明書サービスのシャットダウンと再起動に時間がかかるようになります。 起動およびシャットダウンが監査対象でない場合は該当しません。
##### CA のバックアップから復元する
サーバーのソフトウェアまたはハードウェアが壊れたため CA を起動できない場合、バックアップからサーバーおよびキー マテリアルを復元する必要があります。
###### 要約情報
- **セキュリティ要件** :
- CA のローカル Administrators
- CA の Backup Operators (復元を実行する場合のみ)
- **実行頻度** : 必要に応じて
- **技術要件** :
- Windows バックアップ
- 組織のバックアップ システム
###### タスクの詳細
次の手順を実行して CA をバックアップから復元します。
**注意 :** HSM を使用している場合、この手順は説明どおりに動作しません。 キー マテリアルとアクセス キーのバックアップ、復元、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
**CA をバックアップから復元するには**
1. 証明書サービスを再び実行できる状態までオペレーティング システムを復旧する必要があります。このとき、Windows の再インストールが必要になる場合があります。 再インストールが必要な場合は、構築ガイドの手順に従って基本的なオペレーティング システムおよびシステム コンポーネントをインストールします。 セキュリティなどの構成手段を適用する必要はありません。
**警告 :** Windows を再インストールする必要がある場合、2 番目のドライブのパーティションを再設定したり、再フォーマットしたりしないでください。 このドライブには CA データベースが含まれていますが、損傷がない可能性があります。
2. 可能であれば、CA データベース (場所はルート CA の %systemroot%\\System32\\CertLog または発行 CA の D:\\CertLog) および CA ログ (場所は %systemroot%\\System32\\CertLog) を保存します。 これらのフォルダのファイル バックアップを作成してから CA を復元します。 これらのデータベースおよびログは、システム障害の影響を受けていない可能性があります。 ログには、最後にバックアップを取った時点からサーバーに障害が発生した時点までの間に CA で発生したすべてのトランザクションを再実行するのに必要な情報が含まれています。 ただし、システム状態バックアップを復元するとログおよび既存のデータベースが上書きされるので、システムの復元を開始する前にこれらを保存します。
3. CA の最後のバックアップが保存されているバックアップ メディアを挿入して、システム状態バックアップ ファイルを適切なディスク領域に復元します (可能であれば第 2 ドライブをお勧めします)。
4. Windows バックアップ プログラムを起動します。 **\[復元\]** タブの左側のパネルで **\[ファイル\]** オブジェクトを右クリックし、**\[ファイルのカタログ\]** をクリックします。
5. ファイルの復元先として **\[元の場所\]** が選択されていることを確認し、**\[復元の開始\]** をクリックしてシステム状態を復元します。 完了したら、サーバーを再起動します。システムが再起動したら、証明書サービスを停止します。
6. 手順 2 で CA ログを保存した場合は、証明書サービスのログ フォルダ (%systemroot%\\System32\\CertLog) にコピーします。 コピーしたログを復元されたデータベースに対して再実行し、最後のバックアップ以降に発生したすべてのトランザクションを挿入します。
**注 :** 手順 2 で CA データベースとログを完全に保存しておけば、それを使用してサーバーを復元できます。この手順 (手順 6) を実行する必要はありません。 ただし、CA データベースとログをサーバーにコピーする前に、証明書サービスを停止する必要があります。
7. 証明書サービスを開始します。
##### CA の証明書およびキー ペアを一時コンピュータへ復元する
障害が発生した CA を時間内に復元して新しい CRL を発行可能にできない場合 (または緊急証明書を更新できない場合) は、CA 証明書およびキーを使用して既存の CRL または証明書に再署名し、有効期間を延長するために、CA 証明書およびキーを一時コンピュータにインストールする必要があります。
###### 要約情報
- **セキュリティ要件** : 一時コンピュータのローカル Administrators
- **実行頻度** : 必要に応じて
- **技術要件** :
- Certutil.exe
- Cipher.exe
###### タスクの詳細
ここでは、CA 証明書および秘密キーを一時コンピュータに復元する手順について説明します。 CA が更新されると、複数の証明書とキー ペアのバックアップが作成されます。 この手順では、最新のキーと証明書を復元します。
**重要 :** 対象となるコンピュータに CA キーをインストールしたうえで、通常の CA に対する場合と同じセキュリティ保護対策を講じてください。 オフライン CA のキーを復元する場合、そのコンピュータがオフラインであることを確認してください。 キーの使用が終わったら、一時コンピュータのディスクを再フォーマットすることを検討してください。
**注意 :** HSM を使用している場合、この手順は説明どおりに動作しません。 キー マテリアルとアクセス キーのバックアップ、復元、およびその他の方法による保護については、HSM ベンダの指示に従ってください。
**CA のキーおよび証明書を一時コンピュータに復元するには**
1. コンピュータがネットワークから切断されていることを確認します。 ローカル Administrators のメンバとしてログオンした後、CAKeySigner をローカル ユーザー アカウントとして作成します。
2. この新しいアカウントを使用してログオンします。
3. テストする CA キー バックアップを格納したディスクを挿入します。
4. エクスプローラを使用して P12 キー ファイルのある場所に移動し、最新のファイルを選択してダブルクリックし、証明書のインポート ウィザードを起動します。
5. 要求された場合は、パスワードを入力します。 キーに対して高い保護を設定するためのチェックボックス、または CA キーをエクスポート可能にするためのチェックボックスをオフにします。
6. CA キーの復元先として**個人ストア**を選択します。
7. \[証明書\] MMC スナップインを開き、個人ストアを参照します。 復元された CA の CA 証明書を検索して、CA 証明書を開き、対応する秘密キーがあることを確認します。
これで、復元した CA キーを使用して必要な再署名タスクを実行できます。 次の「有効期間を延長するために CRL または証明書に再署名する」の手順を参照してください。完了したら、次の手順でキーをコンピュータから削除します。
**システムからキーを削除するには**
1. ローカル Administrators のメンバとしてログオンし、\[マイ コンピュータ\] の **\[詳細プロパティ\]** を使用して CAKeySigner アカウントのユーザー プロファイルを削除します。
2. CAKeySigner アカウントを削除します。
3. 次のコマンドを実行して、キーの痕跡を完全に削除できるようにディスクの未割り当て領域を確実に消去します。
Cipher /W:%AllUsersProfile%
**注 :** パスに %allusersprofile% を指定することで、Cipher.exe がユーザー プロファイルを保存したドライブ上で確実に実行されるようにします。 これにより、指定したパスだけでなくドライブ全体が消去されます。
##### 有効期間を延長するために CRL または証明書に再署名する
サーバー障害などの理由で CA を利用できない場合、CRL または証明書に再署名することによりその有効期間を延長できます。 この操作はサービスを維持するために非常に重要です。
###### 要約情報
- **セキュリティ要件** : CA のキー復元時に作成した一時アカウント
- **実行頻度** : 必要に応じて
- **技術要件** : Certutil.exe
###### タスクの詳細
CRL または証明書に再署名すると有効期間が延長されます。 既定では、既存の有効期間が使用され、署名の日付から再び有効になります。 たとえば、CRL の元の有効期間が 1 か月の場合、新しい有効期間は再署名の時点から 1 か月になります。 必要に応じて、Certutil コマンド ラインで別の有効期間を指定できます。
**CRL または証明書に再署名するには**
1. 再署名する CRL または証明書のコピーを取得します。
2. 目的の CRL または証明書の署名に使用された CA キーおよび証明書が復元されたコンピュータにログオンします (「CA の証明書およびキー ペアを一時コンピュータへ復元する」を参照)。ログオンにはこの手順で作成したアカウントを使用します。
3. 次のコマンドを実行します。*OldFile.ext* には CRL または証明書のファイルを指定し、*NewFile.ext* には出力名を指定します。
Certutil -sign *OldFile.ext NewFile.ext*
4. 使用する証明書の選択を要求するメッセージが表示されたら、CA 証明書を選択します。
5. CRL に再署名する場合は、必要に応じて CRL を CDP に公開する必要があります (「運用作業領域のタスク」の CRL の公開手順を参照)。
##### エンド エンティティ証明書を失効させる
次のような場合、証明書を失効させる必要があります。
- 証明書に関連付けられている機能または権限が証明書保持者から失効させられた。
- 証明書キーが危害を受けた。
- 証明書を発行した CA が危害を受けた。
###### 要約情報
- **セキュリティ要件** : Certificate Managers
- **実行頻度** : 必要に応じて
- **技術要件** : \[証明機関\] MMC スナップイン
###### タスクの詳細
この手順では、エンド エンティティ証明書 (CA 以外に発行された証明書) を失効させる手順を説明します。 CA 証明書の失効化手順については別の説明に従ってください。
**証明書を失効させるには**
1. Certificate Managers のメンバとしてログオンし、失効させる証明書 (複数可) を \[証明機関\] MMC の証明機関データベースで検索します。 検索には CA の **\[発行した証明書\]** フォルダの **\[表示\]** メニューの **\[フィルタ\]** オプションを使用します。
2. 証明書を選択して、**\[タスク\]** メニューの **\[失効\]** をクリックします。
3. 失効の理由コードとして適切なものを選択します。 事前定義されている理由コードに該当しない場合は、**\[指定なし\]** を選択します。
**重要 :\[一時中止\]** という理由を選択した場合のみ、証明書の失効を後で取り消すことができます。 その他の理由を選択した場合、証明書は永続的に無効になります。 ただし、証明書を元に戻す可能性があるという理由だけで **\[一時中止\]** を使用しないでください。 純粋に証明書を一時的に無効にする場合にだけ、このコードを使用してください。
##### 孤立証明書を失効させる
サーバー障害などにともない CA をバックアップから復元した場合、最後のバックアップから障害発生までの間に発行された証明書が証明書データベースに含まれていない場合があります。 このような証明書を "孤立" 証明書と呼びます。 この状況は、CA ログが破壊されており、バックアップの復元後に CA データベースに対して再実行できない場合に発生します。 この場合は、通常の手順で "孤立" 証明書を失効させることはできません。
###### 要約情報
- **セキュリティ要件** : Certificate Managers
- **実行頻度** : 必要に応じて
- **技術要件** : Certutil.exe
###### タスクの詳細
孤立証明書を失効させるには、失効させる証明書のコピーまたはシリアル番号を取得する必要があります。
**孤立証明書を失効させるには**
1. 失効させる証明書を発行した CA に Certificate Managers のメンバとしてログオンします。
2. 証明書のコピーを取得できない場合、次のコマンドを実行して証明書のダミーを作成し、CertToRevoke.cer として保存します。 *SerialNumber* は失効させる証明書のシリアル番号に置き換えます。
Certutil -sign *SerialNumber* CertToRevoke.cer
3. メッセージが表示されたら、現在の CA 証明書を選択して証明書のダミーに署名します。
4. 証明書のダミーを作成したら (または失効させる本物の証明書のコピーを取得したら)、それを CA データベースにインポートする必要があります。 次のコマンドを実行して、この証明書を証明書データベースにインポートします。 CertToRevoke は、失効させる証明書の本物のコピー、または前述の手順で作成したダミーです。
Certutil -importcert CertToRevoke.cer
5. 証明書を失効させる場合の標準的な手順に従います (「エンド エンティティ証明書を失効させる」の手順を参照)。
**重要 :** Windows Server 2003 の SP1 以前の Certutil バージョンには、Windows Server 2003 を実行しているコンピュータでダミー証明書の作成操作が失敗するという不具合があります。 これ以前のバージョンを使用しており、元の証明書のコピーが見つからない場合は、代替手順として、既存の証明書をバイナリ エディタを使用して編集し、そのシリアル番号を失効させる証明書のシリアル番号に置き換えます。 この変更した証明書には次のコマンドで再署名できます。
Certutil -sign ModifiedCert.cer CertToRevoke.cer
このコマンドで新たに作成した証明書を上記の手順 4 に従ってデータベースにインポートします。
##### 発行 CA 証明書を失効化および置換する
CA の秘密キーに何らかの危害が加えられた場合 (または危害が加えられた可能性がある場合)、その CA 証明書を失効させ、新しいキー ペアを使用して新しい CA 証明書を作成します。
###### 要約情報
- **セキュリティ要件** : Certificate Managers
- **実行頻度** : 必要に応じて
- **技術要件** : \[証明機関\] MMC スナップイン
###### タスクの詳細
ルート CA は CRL 公開期間が非常に長く設定されているため、CA 証明書を失効させ新しい CRL を発行するだけでは、失効してから、証明書ユーザーがその失効の通知を受け取るまでの間にかなりの遅延が生じます。 侵害された CA が発行するすべての証明書ができるだけ迅速に拒否されるように、この CA が既に発行済みのすべての証明書もまた個別に失効されます。
**重要 :** すべての証明書ユーザーは、新しい証明書に対して再登録する必要があります。
**発行 CA 証明書を失効させるには**
1. 発行 CA に Certificate Managers のメンバとしてログオンし、\[証明機関\] MMC スナップインを開きます。
2. \[発行した証明書\] フォルダですべての証明書を選択して、**\[すべてのタスク\]** メニューの **\[証明書の失効\]** を選択します。 理由コードには **\[CA キーが危害を受けた\]** を選択します。
3. \[CRL 公開期間\] の値を大きくして CA 証明書の残りの有効期間に一致させます。 この値を大きくすると、CA が発行したすべての証明書の残りの有効期間より長く設定できます。
4. **\[Delta CRL を公開する\]** チェック ボックスがオンになっている場合は、このチェック ボックスをオフにします。
5. \[失効した証明書\] フォルダの **\[すべてのタスク\]** メニューで **\[公開\]**、**\[新しい CRL\]** の順にクリックします。
6. 発行 CA に Certificate Managers のメンバとしてログオンし、\[証明機関\] MMC を開きます。
7. \[発行した証明書\] フォルダで失効させる CA 証明書を選択して、**\[すべてのタスク\]** メニューの **\[証明書の失効\]** を選択します。 理由コードには **\[CA キーが危害を受けた\]** を選択します。
8. 「運用作業領域のタスク」の「オフライン CRL および CA 証明書を発行する」の手順に従います (CA 証明書を発行する部分はスキップしてください)。
9. 発行 CA に戻って、「運用作業領域のタスク」の「発行 CA 証明書を更新する」の手順に従います。
これで、証明書ユーザーは新しい CA を使って再登録できるようになりました。 自動登録証明書は、自動的に登録されます。
##### ルート CA 証明書を失効化および置換する
ルート CA の秘密キーが何らかの形で危害を受けた場合 (または危害を受けた可能性がある場合)、信頼性確保の観点からその CA 証明書を削除し、下位 CA が発行したすべての証明書を失効させる必要があります。 ルート CA および下位 CA のすべての証明書を新しいキーで更新し、Active Directory に再発行してください。 一般に、ルート CA 証明書を失効させることはできません。 多くの場合、CA 証明書には失効状態を確認するための CDP が含まれていません。 また、どのような場合でも、CA が 自らの失効化を確認することは認められていません (失効された証明書を含む CRL に署名するには、侵害された証明書を使用する必要があります)。
###### 要約情報
- **セキュリティ要件** :
- Certificate Managers
- CA のローカル Administrators (CA 更新サブタスク用)
- **実行頻度** : 必要に応じて
- **技術要件** : \[証明機関\] MMC スナップイン
###### タスクの詳細
**注 :** この手順の完了後、すべての証明書ユーザーが新しい証明書に登録し直す必要があります。
**ルート CA 証明書を失効させるには**
1. 発行 CA に Certificate Managers のメンバとしてログオンし、\[証明機関\] MMC スナップインを開きます。
2. \[発行した証明書\] フォルダですべての証明書を選択して、**\[すべてのタスク\]** メニューの **\[証明書の失効\]** を選択します。 理由コードには **\[CA キーが危害を受けた\]** を選択します。
3. \[CRL 公開期間\] の値を大きくして CA 証明書の残りの有効期間に一致させます。 この値を大きくすると、CA が発行したすべての証明書の残りの有効期間より長く設定できます。
4. **\[Delta CRL を公開する\]** チェック ボックスがオンになっている場合は、このチェック ボックスをオフにします。
5. \[失効した証明書\] フォルダの **\[すべてのタスク\]** メニューで **\[公開\]**、**\[新しい CRL\]** の順にクリックします。 すべての下位 CA に対して、手順 1 ~ 5 を繰り返します。
6. ルート CA に Certificate Managers のメンバとしてログオンし、\[証明機関\] MMC スナップインを開きます。
7. \[発行した証明書\] フォルダですべての証明書を選択して、**\[すべてのタスク\]** メニューの **\[証明書の失効\]** を選択します。 理由コードには **\[CA キーが危害を受けた\]** を選択します。
8. \[CRL 公開期間\] の値を大きくして CA 証明書の残りの有効期間に一致させます。 この値を大きくすると、CA が発行したすべての証明書の残りの有効期間より長く設定できます。
9. **\[Delta CRL を公開する\]** チェック ボックスがオンになっている場合は、このチェック ボックスをオフにします。
10. 「ルート CA 証明書を更新する」の手順に従います。
11. 発行 CA に戻り、「発行 CA 証明書を更新する」の手順に従います。
これで、証明書ユーザーは新しい CA を使って再登録できるようになりました。 自動登録証明書は、自動的に登録されます。
**重要 :** ルート CA 証明書の更新は、特に子 CA および発行した証明書の失効化が絡む場合には、非常に重大なイベントです。 新しいルート証明書の影響を受ける可能性があるアプリケーション所有者全員に通知してください。アプリケーションにこの新しいルートを組み入れる必要がある可能性があります。
[](#mainsection)[ページのトップへ](#mainsection)
### 最適化作業領域のタスク
最適化作業領域には、サービス レベルの維持または向上とコスト管理を同時に行うための SMF が含まれます。 たとえば、停止/インシデントのレビュー、費用構造の検証、担当者の割り当て、可用性およびパフォーマンスの分析、容量予測などのタスクがあります。
ここでは、次の SMF に関連する情報について説明します。
- 容量管理
次の SMF に属するタスクはありません。
- サービス レベル管理
- 財務管理
- 可用性管理
- IT サービス継続性管理
- 人員管理
**注 :** 各タスクの説明には、セキュリティ要件、実行頻度、技術要件などの要約情報を記載します。
#### 容量管理
容量管理は、ユーザーの要求を満たすことができるように、SLA に定められているパフォーマンス レベルの範囲内でサービス ソリューションの容量計画、サイズ変更、および制御を行うプロセスです。 ユーザーの要求を満たすには、定められているパフォーマンス要件のほかに、サービス ソリューションを使用する状況、使用パターン、およびピーク時の負荷の特性についての情報が必要です。
##### 発行 CA の最大負荷を決定する
ここでは、発行 CA の予想最大負荷に関する情報について説明します。
通常、CA は高負荷にはなりませんが、急激なピークが見られることがあります。 一般に CA の負荷が最も高くなるのは、新しい証明書の種類がロールアウトされるときのログオンまたは起動中です。 同様に、頻度は落ちますが、証明書または CA 証明書が大量に失効された場合、ユーザーおよびコンピュータによる再登録によって通常では見られないほどのアクティビティのピークが見られることもあります。
###### 要約情報
- **セキュリティ要件** : なし
- **実行頻度** : セットアップ タスク
- **技術要件** : なし
###### タスクの詳細
マイクロソフトの内部調査によると、典型的なエンタープライズ CA において、高負荷時のパフォーマンスでは Active Directory との相互作用がボトルネックになります。 証明書の署名および発行のタスクは、証明書のサブジェクト情報を取得してから証明書を Active Directory に公開するという処理に比べると、オーバーヘッドの小さいタスクです。
たとえば、ピーク負荷シナリオで生成される数字、すなわち新しい証明書の種類が登録されてすべてのユーザーおよびコンピュータがこのタイプの証明書を登録する必要がある場合を想定します。
- ユーザー数 : 3,000
- コンピュータ数 : 3,000
- エンタープライズ CA による最高発行速度は毎秒約 30 証明書 (または毎分 1,800 証明書)。
この場合、最少合計登録時間は 3.3 分になります。 15,000 人のユーザーがいる場合に同じ数のコンピュータを同時に登録すると、登録時間は 16.6 分に増加します。
組織の最高ピーク登録負荷を特定し、合計登録期間を計算する必要があります。 計算した時間が予想より長く、登録をどうしてもずらせない場合は、複数の発行 CA の展開を検討する必要があります。 これらの発行 CA は、それぞれ別のドメイン コントローラを使用するように異なる Active Directory サイトに展開する必要があります。
##### 発行 CA の記憶域要件およびバックアップ要件を判定する
ここでは、CA の記憶域パラメータに求められる容量の詳細について説明します。 この情報は、オンライン ディスクとオフラインのバックアップ記憶域に将来求められる記憶域関連の条件を、容量計画の担当者が検討する際に役立ちます。
###### 要約情報
- **セキュリティ要件** : なし
- **実行頻度** : 必要に応じて
- **技術要件** : なし
###### タスクの詳細
CA データベース サイズ、CA データベース ログ サイズ、CRL サイズ、およびバックアップ時間 (CA データベースのバックアップに必要な時間) の計算における前提条件および結果を次に示します。
計算の前提条件は次のとおりです。
- ユーザー数 3,000、コンピュータ数 3,000、サーバー数 100 ~ 300。
- 各エンド エンティは 5 証明書/年で発行、それぞれの有効期間は 1 年。
- 証明書は 5 年間データベースに保管。
- データベースは毎日バックアップ (データベース ログは切り捨て)。
**証明書データベース サイズ**
各証明書エントリがデータベースで必要とする容量は約 20 KB です (同時に秘密キーを保管する証明書の場合は、証明書ごとにさらに 10 KB の記憶域を確保する必要があります)。 データベース サイズは概算で次のようになります。
- データベースに保管されている証明書の数は常に 150,000。
- 証明書データベースの合計サイズは 3 GB。
15,000 人のユーザーがいる組織では、証明書データベース サイズは 15 GB になります。
**平均証明書データベース ログ サイズ**
- 1 日あたり 750 の証明書。
- 平均ログ サイズは 5 MB。
15,000 人のユーザーがいる組織で 1 日に 3,750 個の証明書が発行される場合、ログ サイズは最大で 25 MB になります。
**CRL サイズ**
CRL エントリは約 30 バイトです。 通常、発行済み証明書の約 10% が失効されます。 有効期間を過ぎて失効された証明書は CRL には含まれません。
- 有効期間内の証明書数は常に 30,000。
- CRL に含まれる証明書数は 3,000。
- CRL サイズは 90 KB。
15,000 人のユーザーがいる組織で、CRL に 15,000 個の証明書が保管される場合、CRL のサイズは 440 KB になります。
**証明書データベースのバックアップ時間**
バックアップ サーバーへのネットワーク バックアップが、専用の 100 Mbps (メガビット/秒) スイッチ上で理想的な状態で実行されることを前提とした場合、3 GB のデータベースおよび 500 MB のシステム状態は約 15 ~ 20 分でバックアップできます。 15,000 人のユーザーがいる組織で証明書データベースの容量が 15 GB の場合は、2 時間未満でバックアップできます。
[](#mainsection)[ページのトップへ](#mainsection)
### 変更作業領域のタスク
変更作業領域には、管理下にある IT 環境での変更の特定、確認、承認、および組み込みに必要なプロセスと手順が含まれます。 変更には、ハード資産やソフト資産の変更のほかに、特定のプロセスや手順の変更などがあります。
変更プロセスの目的は、新しいテクノロジ、システム、アプリケーション、ハードウェア、ツール、およびプロセスの導入、ならびに役割および責任範囲の変更を、サービスを中断させることなく IT 環境に迅速に適用することです。
ここでは、次の SMF に関連する情報について説明します。
- 変更管理
- 構成管理
- リリース管理
**注 :** 各タスクの説明には、セキュリティ要件、実行頻度、技術要件などの要約情報を記載します。
#### 変更管理
変更管理 SMF は、IT 環境での変更を管理する役割を果たします。 変更管理プロセスの主要な目標は、ある変更によって影響を受ける関係者が、そのような面倒な変更の影響を認識し理解できるようにすることです。 ほとんどのシステムは相互に密接に関連しているので、システムの一部を変更すると、別のシステムが深刻な影響を受けることがあります。 悪影響を軽減または排除するには、変更管理において、変更の実施前に、影響されるすべてのシステムおよびプロセスを特定します。 一般に、"ターゲット環境" つまり管理対象の環境とは運用環境のことですが、これにはキーの統合環境、テスト環境、およびステージング環境も含まれます。
PKI に対してどのような変更を実施した後でも、次に示す標準的な MOF 変更管理プロセスを実施します。
1. **変更の要求**。 変更の要求 (RFC) を発行して変更を正式に開始します。
2. **変更の分類**。 緊急度、およびインフラストラクチャまたはユーザーに対する影響を基準に、変更の優先度およびカテゴリを割り当てます。 この割り当ては、実装のスピードとルートに影響します。
3. **変更の承認**。 変更マネージャおよび変更承認委員会 (CAB) が変更を検討し、承認/非承認を決定します。CAB には IT および運営の担当者が参加します。
4. **変更の開発**。 変更を計画および開発します。このプロセスはそれぞれの目的によって大きく異なります。主な中間マイルストーンでのレビューも含まれます。
5. **変更のリリース**。 変更を運用環境にリリースおよび実装します。
6. **変更のレビュー**。 変更の実装後、当初の目的を達成したか、変更を有効にするかどうかを決定するプロセスです。
ここでは、実際の環境で日常的に必要になり得る主要な変更の一部について、その変更開発手順を説明します。 変更開発手順には、それぞれに応じた変更リリース手順があります。変更リリース手順は、変更をどのような方法で運用環境に展開する必要があるかを示します。
##### オペレーティング システムの更新を管理する
証明書サービスに対するセキュリティ更新の管理は、Windows 更新プログラムの一般的な管理の一部です。 この管理については、マイクロソフトが提供している 2 つのソリューション ガイドを参照してください。これらのガイドでは、Microsoft Systems Management Server (SMS) または Microsoft Software Update Services (SUS) のいずれかを使用した Windows オペレーティング システムの更新について説明しています。 このガイドの入手方法については、この章の最後にある「関連情報」を参照してください。
更新プログラムの管理には、リリース管理コンポーネントや構成管理コンポーネントだけでなく、変更管理コンポーネントも関係しています。 ただし、この 3 つの SMF については、上記のドキュメントを参照してください。
###### 要約情報
- **セキュリティ要件** : CA のローカル Administrators
- **実行頻度** : セットアップ タスク
- **技術要件** : セキュリティ更新配布インフラストラクチャ (SMS、SUS など)
##### 証明書テンプレートを追加する
新しい証明書テンプレートを追加すると、新しい種類の証明書を発行できるようになります。これは、新しいアプリケーションを一時的に導入する場合や、既存のアプリケーションに新しい機能を適用する場合などに必要になるタスクです。 また、このタスクは、既存の証明書の種類を更新するプロセスの一部となる場合もあります。
###### 要約情報
- **セキュリティ要件** : Enterprise PKI Admins
- **実行頻度** : 必要に応じて
- **技術要件** : \[証明書テンプレート\] MMC スナップイン
新しい証明書の種類の要求を提出する前に、運用環境の代わりとなるテスト環境でテストします。
新しい証明書の種類の要求を文書化し、次の内容を記載します。
- 新しいテンプレートが必要な理由
- ユーザーおよびインフラストラクチャに対する影響の評価
- 変更を実施しない場合のあらゆる影響の評価
- 変更テストの結果
作成する文書には、証明書ポリシーおよび証明書運用既定 (CPS: Certificate Practices Statement) に対する更新事項も記載します。 また、優先度および影響を考慮して評価する必要があります。 変更が承認されたら、実装します (この時点ではまだリリースされていません)。
###### タスクの詳細
次の手順はテスト環境でのみ実施します。 この変更を運用環境で実施するプロセスについては、「新しい証明書テンプレートをリリースする」の手順を参照してください。
**新しい証明書テンプレートを実装するには**
1. Enterprise PKI Admins のメンバとしてログオンし、\[証明書テンプレート\] MMC スナップインを開きます。
2. 新しいテンプレートは、既存のテンプレートをコピーして作成します。 新しいテンプレートの元になる適切なテンプレートを選択します。作成するテンプレートにできるだけ似たテンプレートを選択するようにします。
**重要 :** ソースのテンプレートの基本となるテンプレートの種類 (ユーザーまたはコンピュータ) が新しいテンプレートのサブジェクトの種類と一致していることを確認してください。テンプレートの種類はテンプレート エディタで変更できません。
3. 要求に応じてテンプレートの詳細を編集します。 詳細については、ローカル ヘルプ システム、または「関連情報」にあるオンライン製品ドキュメントを参照してください。
4. このテンプレートを既存のテンプレートと置き換える場合、既存のテンプレートを新しいテンプレートのプロパティの **\[置き換えられたテンプレート\]** の一覧に追加する必要があります。 新しいテンプレートが元のテンプレートの機能をすべて含んでいるか、元のテンプレートの機能とまったく同じであることを十分確認してください。 機能の削除は、削除される機能を使用するアプリケーションがないことが明らかな場合に限定してください。
5. テストを実施し、変更が予期したとおりに動作して既存のアプリケーションに悪影響を及ぼさないことを確認します。
6. 証明書ポリシーに関する文書および CPS に適切な変更を加えます。
7. 「新しい証明書テンプレートをリリースする」および「新しい CPS をリリースする」の手順に従います (CPS を公開する場合)。
##### 証明書テンプレートを更新する
ここでは、証明書テンプレートに比較的重要ではない変更を加える手順について説明します。 テンプレートに重要な変更を加える場合は、テンプレートをコピーし、作成した新しいテンプレートを既存のテンプレートと置き換えるようにします (上記の「証明書テンプレートを追加する」のタスクを参照)。
###### 要約情報
- **セキュリティ要件** : Enterprise PKI Admins
- **実行頻度** : 必要に応じて
- **技術要件** : \[証明書テンプレート\] MMC スナップイン
###### タスクの詳細
証明書テンプレートに変更を加えるのは、変更が比較的小規模で証明書ユーザーに大きな影響を与えない場合に限定してください。 テンプレートの変更による影響を制御したり、テンプレートに対する変更をロールバックするのは、非常に困難です。
比較的重要ではない変更の例を次に示します。
- 有効期間または更新期間の変更
- 許可される CSP の種類の追加 (削除は不可)
証明書ポリシーの変更、CSP の種類の削除、発行基準の変更など、証明書の機能に影響する変更を実装する場合は、新しいテンプレートの種類を作成して元のテンプレートを置き換えます。
「証明書テンプレートを追加する」の手順に従って、変更要求を評価および承認します。
承認されたら、提案されたテンプレート変更を実装およびテストし、変更リリースを運用環境に引き渡します。 「テンプレートの更新をリリースする」の手順を参照してください。
**証明書テンプレートを更新するには**
1. Enterprise PKI Admins のメンバとしてログオンし、\[証明書テンプレート\] スナップインを MMC に読み込みます。
2. 変更するテンプレートを開いて、必要な変更を加えます。 詳細については、ローカル ヘルプ システム、または「関連情報」にあるオンライン製品ドキュメントを参照してください。
3. 更新をテストして、必要な機能を実現していることを確認します。
4. 「新しい証明書テンプレートをリリースする」および「新しい CPS をリリースする」の手順に従います (該当する場合)。
##### 証明書テンプレートを削除する
不要になった証明書テンプレートは、使用不可能にするか、ディレクトリから完全に削除することができます。
###### 要約情報
- **セキュリティ要件** : CA Admins
- **実行頻度** : 必要に応じて
- **技術要件** :
- \[証明書テンプレート\] MMC スナップイン
- \[証明機関\] MMC スナップイン
###### タスクの詳細
テンプレートの削除は、現在有効になっているその種類の証明書に依存するアプリケーションがないことが明らかな場合に限定してください。 「証明書テンプレートを追加する」の手順に従って、テンプレートの削除要求を評価および承認します。 テンプレートをディレクトリから完全に削除する場合は、テンプレートを使用不可能にして、影響をテストする手順を必ず先に実施してください。
承認されたら、テンプレートの削除を実施およびテストし、変更を運用環境にリリースします。 「テンプレートの削除をリリースする」の手順を参照してください。
**証明書テンプレートを使用不可能にするには**
1. CA Admins のメンバとしてログオンし、\[証明機関\] スナップインを MMC に読み込みます。
2. \[証明書テンプレート\] フォルダで、削除するテンプレートを右クリックして **\[削除\]** をクリックします。
3. この証明書の種類を使用するすべての発行 CA に対して手順 1 および 2 を繰り返します。
4. 以前このテンプレートを使用したすべてのアプリケーションをテストし、この証明書の種類に依存していないことを確認します。
5. 「テンプレートの削除をリリースする」および「新しい CPS をリリースする」の手順に従います (該当する場合)。
**証明書テンプレートをディレクトリから完全に削除するには**
1. Enterprise PKI Admins のメンバとしてログオンし、\[証明書テンプレート\] スナップインを MMC に読み込みます。
2. 削除するテンプレートを右クリックして **\[削除\]** をクリックします。
#### 構成管理
構成管理 SMF は、構成項目 (CI: Configuration Item) と呼ばれる主要な IT コンポーネントまたは資産の特定、記録、追跡、および報告を行う役割を担います。 取得および追跡される情報は、個々の CI ごとに異なりますが、一般的には、CI の詳細、バージョン、構成コンポーネント、他の CI との関連、場所や割り当て、現在のステータスなどが含まれます。
PKI の構成管理は、次のようにいくつかのグループに分けることができます。
- **エンタープライズ PKI 構成**。 Active Directory に格納される共通情報。
- **証明書テンプレート構成**。 すべてのアクティブ テンプレートの構成の詳細。
- **CA 構成**。 CA 特有の構成の詳細。
- **CA および PKI 管理グループ**。 PKI 管理グループとユーザーの詳細、およびそれぞれの権限。
- **クライアントの設定**。 グループ ポリシー (またはその他の方法) を使用したユーザーおよびコンピュータ設定の構成。
以降の各セクションでは、これらの項目の詳細について説明します。また、可能な場合にはこうした情報を自動収集する方法についても説明します。
構成管理に関するその他の参照情報については、この章の最後にある「関連情報」を参照してください。
##### エンタープライズ PKI 構成情報を収集する
エンタープライズ全体の構成情報は Active Directory に格納されています。格納されている情報には、信頼されたルート CA 公開、エンタープライズ CA 構成、提供情報などがあります。 また、後述する手順でも説明している、証明書テンプレートも含まれています。
###### 要約情報
- **セキュリティ要件** : Domain Users
- **実行頻度** : 必要に応じて
- **技術要件** :
- Certutil.exe
- DSQuery.exe
###### タスクの詳細
Active Directory に格納されている次の情報の記録を保持します。
- 信頼されたルート証明機関
- NTAuth ストア
- 登録サービス (エンタープライズ CA)
- 相互証明書
- 公開済み CRL
この情報を収集するためのコマンドについては、次の手順で説明します。
**重要 :** 次のコマンドでは、ルート ドメインの識別名 (DN) (*DC=woodgrovebank,DC=com*) を*フォレスト* ルートの DN に置き換える必要があります。
**注 :** 一部のコマンドは複数行にわたって表示されていますが、実際には 1 行で入力する必要があります。
**信頼されたルート証明機関を表示するには**
certutil -store -enterprise Root
**NT Auth ストアを表示するには**
certutil -store -enterprise Root
**現在のエンタープライズ CA の証明書を表示するには**
certutil -store -enterprise "ldap:///cn=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,
*DC=woodgrovebank,DC=com*?cACertificate?one?
objectClass=pkiEnrollmentService"
**中間および相互証明書を表示するには**
certutil -store -enterprise CA
**中間 CA 証明書を単独で表示するには**
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cACertificate?one?
objectClass=certificationAuthority"
**相互証明書を単独で表示するには**
certutil -store -enterprise "ldap:///cn=AIA,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?cRossCertificatePair?one?
objectClass=certificationAuthority"
**現在公開されている CRL を表示するには**
1. このコマンドを実行すると、Active Directory CDP コンテナに CDP を公開したすべての CA の "**サーバー名**" が表示されます。
dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com*" -attr cn -scope onelevel
2. このコマンドを実行すると、Active Directory CDP コンテナに CRL を公開した各 CA の CDP が表示されます。 CDP は、上記の一覧に記載されているサーバー オブジェクトの子オブジェクトです。 CA は、共通名を使用して各 CDP オブジェクトの名前を指定します。 CA では各 CA バージョンに対してそれぞれ新しい CDP を作成します (CA が更新されるたびにインクリメントされます)。この名前は "CACommonName(X)" の形式で格納されます。X は CA のバージョン番号です。
dsquery \* "cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration, *DC=woodgrovebank,DC=com*" -attr cn -filter (objectclass=crlDistributionPoint)
3. 3. 上記の手順で取得した情報を使用して、指定された CDP の CRL を表示できます (手順 2 の CA 共通名と手順 1 で取得した CA サーバー名を使用します)。
certutil -store -enterprise "ldap:///cn=*Woodgrove Bank Root CA*,cn=*HQ-CA-01*,cn=CDP,CN=Public Key Services,CN=Services,CN=Configuration, *DC=woodgrovebank,DC=com*?certificateRevocationList?base?objectClass=cRlDistributionPoint"
**重要 :** "Woodgrove Bank Root CA" を CA の共通名 "HQ-CA-01" に、"DC=woodgrovebank,DC=com" をフォレスト ルート ドメインの DN に、それぞれ置き換えてください。
**注 :** 定期的に実行する必要がある場合は、簡単なコマンド ファイル (バッチ) スクリプトを作成してこのコマンドを自動化すると便利です。
##### 証明書テンプレート構成情報を収集する
証明書テンプレートは Active Directory に格納されます。 各テンプレートの構成の記録および各テンプレートで使用する証明書登録アクセス許可の記録を保存します。
###### 要約情報
- **セキュリティ要件** : Domain Users
- **実行頻度** : 必要に応じて
- **技術要件** : Certutil.exe
###### タスクの詳細
次のコマンドを使用して、この構成情報を収集してください。
**Active Directory に構成されているテンプレートの一覧を生成するには**
Certutil -template
**テンプレートの構成をダンプするには**
Certutil -dsTemplate
**テンプレートのアクセス許可をダンプするには**
Dsacls "cn=TemplateName,cn=Certificate Templates,cn=Public Key Services,cn=Services,cn=Configuration,*DC=woodgrovebank,DC=com*"
テンプレートのすべてのアクセス許可を簡単に読み取り可能な形でエクスポートするツールはありません。 Dsacls.exe を使用するとテンプレートのアクセス許可が表示されますが、 現在のバージョンでは、拡張権利の "自動登録" アクセス許可は表示されません ("登録" とその他の拡張権利アクセス許可は表示されます)。 つまり、"自動登録" アクセス許可は手動で記録しておく必要があります。 または、Active Directory サービス インターフェイス (ADSI) を使用して、すべてのアクセス許可を正しく読み取って表示するスクリプトやツールを記述します。
##### CA 構成情報を収集する
ここでは、各 CA にローカルに格納される構成情報、およびエンタープライズ CA の場合に Active Directory に格納される一部の情報の取得方法について説明します。
###### 要約情報
- **セキュリティ要件** : CA のローカル Administrators
- **実行頻度** : 必要に応じて
- **技術要件** : Certutil.exe
###### タスクの詳細
次の情報の記録を保持します。
- CA レジストリ情報
- CA 証明書情報
- CA アクセス許可
- CA に割り当てられているテンプレート
- CA CPS
- 次のコマンドを使用して、この構成情報を収集してください。
**CA レジストリ構成を表示するには**
Certutil -getreg
Certutil -getreg CA
**現在の CA 証明書を表示するには**
certutil -f -ca.cert %temp%\\CAcert.cer > nul && certutil -dump %temp%\\CACert.cer
**注 :** 一部のコマンドは複数行にわたって表示されていますが、実際には 1 行で入力する必要があります。
すべての CA アクセス許可情報を読み取り可能な形でエクスポートするツールはありませんが、 すべてのアクセス許可を正しく読み取って表示する ADSI スクリプトを記述することはできます。 または、この情報を手動で記録して保管します。
**対象となる CA に現在割り当てられているテンプレートを表示するには**
Certutil -dsTemplate
CA CPS ファイルは、任意の時点で有効だった CPS を簡単に特定および取得できるように、適切なバージョン管理に基づいて保持してください。
##### CA および PKI 管理グループ情報を収集する
PKI 管理グループは CA およびエンタープライズ PKI 情報のあらゆる側面を制御できるため、そのメンバシップは構成情報の中でもとりわけ重要です。
###### 要約情報
- **セキュリティ要件** : ドメイン ユーザー
- **実行頻度** : 必要に応じて
- **技術要件** : Net.exe
###### タスクの詳細
PKI および CA 管理の各グループについて、現在のメンバシップを一覧および記録します。 メンバシップ自体がグループの場合 (名前の前にアスタリスクが表示されます)、PKI グループのすべてのメンバの完全なユーザー一覧を取得できるまでは、こうしたグループのメンバシップを一覧して記録してください。
既定のグループは次のとおりです。
- Enterprise PKI Admins
- Enterprise PKI Publishers
- CA Admins
- Certificate Managers
- CA Auditors
- CA Backup Operators
作成したその他の管理グループも含めてください。
**各グループのメンバシップを一覧するには**
Net groups *groupname* /domain
##### 証明書クライアント構成情報を収集する
ここでは、グループ ポリシーを使用して展開されたクライアント構成情報を参照します。 PKI 関連のクライアント設定を実装する際に SMS やログオン スクリプトなどの別方式を使用する場合は、ここでそのことについての文書化も実施してください。
###### 要約情報
- **セキュリティ要件** : グループ ポリシー オブジェクトの管理権限がある管理者
- **実行頻度** : 必要に応じて
- **技術要件** : グループ ポリシー管理コンソール
###### タスクの詳細
グループ ポリシー管理コンソール (GPMC) を使用して PKI クライアント構成情報を収集および一覧します。 GPMC の取得方法と使用方法については、「関連情報」を参照してください。
#### リリース管理
リリース管理の焦点は、ソフトウェアおよびハードウェア リリースの管理 IT 環境への導入を容易にすることにあります。 一般に、運用環境や管理される運用前環境などが対象に含まれます。 リリース管理は、リリース開発/プロジェクト チームとリリースを運用環境に展開する運用グループとの連携ポイントになります。
ここでは、頻繁に実施される変更の 1 つである、(証明書テンプレートを使用した) 証明書の種類の追加、変更、および削除への対処について説明します。 同様に体系的にリリースする必要がある変更には次の種類があります。
- **PKI 構成に対する変更**。 次の例にはテンプレートや OID などの変更が含まれます。
- **CA 構成に対する変更**。 登録オブジェクトのローカル レジストリおよび Active Directory 設定。
- **クライアント構成に対する変更**。 GPO の変更。
すべてのリリース手順では、次の一般的な手順を使用します。
1. 変更リリースの準備 - 既存の構成のバックアップ
2. 変更の限定テスト
3. 変更の限定ロールアウト - ユーザー数やコンピュータ数を限定
4. 変更のロールバック - Active Directory および CA 構成で不具合が発生した場合
##### 新しい証明書テンプレートをリリースする
新しい証明書の種類を導入することは IT 環境にとっては大きな変更となるため、リリース先を限定し、さらにいつでも元に戻せるように実施する必要があります。
###### 要約情報
- **セキュリティ要件** :
- Enterprise PKI Admins
- CA Admins
- **実行頻度** : 必要に応じて
- **技術要件** :
- \[証明機関\] MMC スナップイン
- \[証明書テンプレート\] MMC スナップイン
- 依存するタスクで必要となるその他のツール
###### タスクの詳細
新しい証明書テンプレートの運用環境へのリリース手順は次のとおりです。
**新しい証明書テンプレートをリリースするには**
1. 既存の証明書テンプレート構成をバックアップします。 このバックアップは、通常の Active Directory バックアップの一部として、または「Active Directory から証明書テンプレートをエクスポートする」の手順を使用して実行してもかまいません。
2. 「証明書テンプレートを追加する」の手順に従って新しいテンプレートを作成します。
3. グループのすべての登録および自動登録を削除します (Authenticated Users や Domain Users などのオブジェクトを探します)。 「証明書テンプレート登録グループを作成する」の手順に従って、テンプレートの証明書登録グループ (または自動登録グループ、あるいはその両方) を作成します。
4. 発行 CA に新しい証明書テンプレートを追加します。 CA Admins のメンバではない場合は、このグループのメンバとしてログオン (または runas コマンドを使用) し、\[証明機関\] MMC を実行する必要があります。 \[証明書テンプレート\] フォルダを右クリックして、**\[新規\]**、**\[発行する証明書テンプレート\]** をクリックします。 テンプレートを一覧から追加します。
5. 「ユーザーまたはコンピュータが証明書の種類を登録 (または自動登録) できるようにする」の手順に従って、テスト/パイロットのユーザー/コンピュータを証明書登録グループに追加します。
6. 新しい証明書の種類の登録が予期したとおりに動作することをテストします。
7. 証明書が予期したとおりに機能することをテストします。
8. テストが正常に完了したら、「ユーザーまたはコンピュータが証明書の種類を登録 (または自動登録) できるようにする」の手順に従って、本運用のユーザー、コンピュータ、またはセキュリティの各グループを証明書登録グループ (複数の場合あり) に追加します。
9. このテンプレートが 1 つ以上の既存のテンプレートに置き換わる場合、置き換えられたテンプレートを \[証明機関\] MMC スナップインを使用して発行 CA から削除し、ユーザーが置き換えられた証明書に登録されることを防ぐことができます。 テンプレートは、すべての人が新しいテンプレートの種類への移行が完了したことが確認されるまでディレクトリから削除しないでください。
10. 必要に応じて、CPS を更新して新しい証明書の機能を反映させます。
新しいテンプレートの種類のロールバックは、置き換えられたテンプレートが削除されていなければ比較的単純です。 置き換えられたテンプレートが削除されている場合は、バックアップからコピーを復元する必要があります。その際、Active Directory 権限を持つ復元を使用するか、「記憶域管理」で説明しているテンプレートのエクスポートおよびインポートの手順を使用します (「Active Directory から証明書テンプレートをエクスポートする」および「Active Directory へ証明書テンプレートをインポートする」)。
**追加した新しいテンプレートをロールバックするには**
1. 他のテンプレートをこのテンプレートにまだ置き換えていない場合は、このテンプレートを単純に削除します。
2. このテンプレートにより置き換えられたテンプレートを 1 つでも削除している場合は、まずそれを復元します。 「Active Directory へ証明書テンプレートをインポートする」の手順に従ってください。 この手順の説明に従って、テンプレート権限を復元する必要があります。
##### 新しい CPS をリリースする
CPS を公開する場合、組織における証明書ポリシーおよび運用方法の変更を反映するため更新を実施する必要があります。
###### 要約情報
- **セキュリティ要件** : Web サーバー上の CPS ファイルを変更できる権限がある管理者
- **実行頻度** : 必要に応じて
- **技術要件** : CPS の形式に応じたテキスト エディタまたは HTML エディタ
###### タスクの詳細
一般的に、CPS は単純な HTML またはテキスト ファイルとして Web またはファイル サーバーに格納されます。 複数の CA が同じ CPS を使用している場合、通常はすべての CA が同じファイルを参照します。
**新しい CPS をリリースするには**
1. 既存の CPS をバックアップします。
2. オフライン コピーに対して必要な変更を加えます。
3. CPS を置き換えます。
4. 通常サービスを提供しているプラットフォームの種類と場所をエミュレートするクライアントから、新しい CPS ファイルを読むことができるかどうかをテストします。
##### テンプレートの更新をリリースする
ここでは、既存の証明書テンプレートに対するリリース変更を限定的、かつ元に戻せるように実行する手順について説明します。
###### 要約情報
- **セキュリティ要件** : Enterprise PKI Admins
- **実行頻度** : 必要に応じて
- **技術要件** :
- \[証明書テンプレート\] MMC スナップイン
- 参照手順で必要となるその他のテクノロジ
###### タスクの詳細
証明書テンプレートに変更を加えるのは、変更が比較的小規模で証明書ユーザーに大きな影響を与えない場合に限定してください。 テンプレートの変更による影響を制御したり、テンプレートに対する変更をロールバックするのは、非常に困難です。
**証明書テンプレートをリリースするには**
1. 「Active Directory から証明書テンプレートをエクスポートする」の手順に従って、現在のテンプレートをファイルにエクスポートします。
2. Enterprise PKI Admins のメンバとしてログオンし、\[証明書テンプレート\] スナップインを MMC に読み込みます。 「証明書テンプレートを更新する」の手順に従って、テンプレートへの変更を実施します。
3. CPS を更新し、「新しい CPS をリリースする」の手順に従います (該当する場合)。
**証明書テンプレートの更新をロールバックするには**
- 「記憶域管理」の「Active Directory へ証明書テンプレートをインポートする」の手順に従います。
##### テンプレートの削除をリリースする
不要になった証明書テンプレートは、使用不可能にするか、ディレクトリから削除することができます。
###### 要約情報
- **セキュリティ要件** : Enterprise PKI Admins
- **実行頻度** : 必要に応じて
- **技術要件** :
- \[証明機関\] MMC スナップイン
- 参照タスクで必要となるその他のテクノロジ
###### タスクの詳細
テンプレートを使用不可能にする場合のリリース手順は、元に戻すのが簡単なこともあり、比較的単純です。 テンプレートをディレクトリから削除する場合は、変更を元に戻すためにテンプレートをインポートし直す必要があり、手順も複雑です。
**証明書テンプレートを使用不可能にするには**
1. 「証明書テンプレートを削除する」の手順に従って、テンプレートを現在の発行 CA から削除します。
2. CPS を更新し、「新しい CPS をリリースする」の手順に従います (該当する場合)。
**使用不可能にした証明書テンプレートをロールバックするには**
1. CA Admins のメンバとしてログオンし、\[証明機関\] MMC スナップインを使用してテンプレートを発行 CA に追加し直します。
2. CPS を更新し、「新しい CPS をリリースする」の手順に従います (該当する場合)。
**証明書テンプレートをディレクトリから完全に削除するには**
1. この手順は、証明書テンプレートを正常に使用不可能にし、依存しているすべてのアプリケーションに悪影響がないことを確認したうえで実施してください。
2. 「Active Directory から証明書テンプレートをエクスポートする」の手順に従って、現在のテンプレートをファイルにエクスポートします。
3. 「証明書テンプレートを削除する」の手順に従って、証明書テンプレートをディレクトリから完全に削除します。
**ディレクトリから削除した証明書テンプレートをロールバックするには**
- 「Active Directory へ証明書テンプレートをインポートする」の手順に従って、削除したテンプレートを再インポートします。
[](#mainsection)[ページのトップへ](#mainsection)
### トラブルシューティング
このトラブルシューティングには、インシデント管理 SMF と問題管理 SMF が両方該当します。 インシデント管理の主な目的は、サービスの迅速な復旧です。 問題管理の主な目的は、インシデントの根本的な原因の特定とその再発防止です。
このセクションは、「サポート作業領域のタスク」と密接に関連します。 ここで説明するトラブルシューティング手順の多くは、「サポート作業領域のタスク」で説明されています。
ここでは、頻繁に遭遇するサポート インシデント、およびその対処の戦略と手順について説明します。 サービスの迅速な復旧に重点をおきます。 トラブルシューティング手順は、サポート手順を参照するだけで済むこともありますが、 複雑な診断手順が必要となる場合もあります。
次の表に、主なサポート インシデントとその対処方法をまとめてあります。 **\[サポート プロセス\]** 列には従うべき手順が一覧されています。 各手順の詳細については、「サポート作業領域のタスク」を参照してください。 手順が記載されていない場合は、次のセクションでその問題に適した診断手順を参照してください。
**表 11.15: 主なサポート インシデント**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="33%" />
<col width="33%" />
<col width="33%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >インシデント</th>
<th style="border:1px solid black;" >説明</th>
<th style="border:1px solid black;" >サポート プロセス</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">サーバーが応答しない</td>
<td style="border:1px solid black;">ソフトウェア プロセスがクライアントからの要求または管理ツールに応答しません。</td>
<td style="border:1px solid black;">証明書サービスのサービスを再起動する<br />
または<br />
CA サーバーを再起動する</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CRL の公開エラー</td>
<td style="border:1px solid black;">CRL が CA により発行されていますが、最新の CRL が Active Directory または Web に公開されていません。</td>
<td style="border:1px solid black;">次のトラブルシューティング手順を参照してください。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CRL が発行されていない</td>
<td style="border:1px solid black;">更新された CRL が CA によって発行されていません。</td>
<td style="border:1px solid black;">次の「詳細トラブルシューティング手順」を参照してください。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">クライアントが証明書に登録できない</td>
<td style="border:1px solid black;">クライアントによる登録要求がエラーになります。</td>
<td style="border:1px solid black;">次の「詳細トラブルシューティング手順」を参照してください。</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">クライアントが証明書に自動登録できない</td>
<td style="border:1px solid black;">クライアントによる自動登録要求がエラーになります。</td>
<td style="border:1px solid black;">次の「詳細トラブルシューティング手順」を参照してください。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">再起動が必要なセキュリティの更新がインストールされた</td>
<td style="border:1px solid black;">Windows の再起動が必要なセキュリティの更新がインストールされました。</td>
<td style="border:1px solid black;">CA サーバーを再起動する</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">永続的なサーバー エラー</td>
<td style="border:1px solid black;">破壊またはハードウェア障害により復元が必要です。</td>
<td style="border:1px solid black;">CA のバックアップから復元する</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">孤立証明書の失効化が必要</td>
<td style="border:1px solid black;">CA を復元しても、最後のバックアップ以降に発行された証明書はデータベースに含まれていません。 これらは通常の手順では失効できません。</td>
<td style="border:1px solid black;">孤立証明書を失効させる</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CRL または証明書の発行に間に合うようにサーバーを復元できない</td>
<td style="border:1px solid black;">CRL または証明書は、有効期間を延長するために CA のキーを使用して再署名する必要があります。</td>
<td style="border:1px solid black;">次の手順に従います。<br />
1. CA 証明書およびキー ペアを一時コンピュータに復元する。<br />
2. CRL または証明書に再署名し、有効期間を延長する。</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">エンド エンティティ証明書に危害が加えられた</td>
<td style="border:1px solid black;">証明書の秘密キーが紛失または開示されたか、その他の方法で危害が加えられました。</td>
<td style="border:1px solid black;">エンド エンティティ証明書を失効させる</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">発行 CA 証明書に危害が加えられた</td>
<td style="border:1px solid black;">CA 証明書の秘密キーが紛失または開示されたか、その他の方法で危害が加えられました。</td>
<td style="border:1px solid black;">発行 CA 証明書を失効化および置換する</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">ルート CA 証明書に危害が加えられた</td>
<td style="border:1px solid black;">CA 証明書の秘密キーが紛失または開示されたか、その他の方法で危害が加えられました。</td>
<td style="border:1px solid black;">ルート CA 証明書を失効化および置換する</td>
</tr>
</tbody>
</table>
#### 詳細トラブルシューティング手順
ここでは、前の表に一覧されていた問題の一部を診断および解決するのに役立つトラブルシューティング手順について説明します。 各手順は次のような一般的な問題のトラブルシューティングに役立ちます。
- CRL の公開に関する問題
- CRL が発行されていない
- クライアントが証明書に登録できない
- クライアントが証明書に自動登録できない
##### CRL の公開に関する問題
CRL の公開に関する問題は、「サービスの監視と管理」で説明されている CheckCRLs スクリプトが生成する警告により見つかります。 この警告は、CRL を適切なタイミングで Active Directory や Web サーバーに公開できなかったときに発生します。 このエラーを修正しないと、失効の確認を要するアプリケーションがエラーになります。
CheckCRLs により生成されるアプリケーション イベント ログ エントリを調査してください。 これにより、問題を厳密に特定でき、問題が発生している CDP または CRL が属している CA も明らかになります。 問題は次のいずれかです。
- 最新の CRL が CA によって発行されていない。 このエラーは CA に何らかの問題があることを示しています。
- CRL は発行されたが、1 つ以上の CDP に対して正常に公開されていない。 このエラーは、CA、CA と CDP との通信、または CDP サービス (Active Directory または IIS) に問題が発生していることを示しています。
- CRL が生成され公開されているが、それを取得できない CDP ロケーションが少なくとも 1 つ存在する。 このエラーは CDP サービスに問題があることを示しています。
**CRL の公開に関する問題をトラブルシューティングするには**
1. 問題が発生した CA にログオンし、発行 CA の CRL が最新かどうかを確認します。 次のコマンドを入力して CA の CRL を表示します (最初のコマンドを実行するには、CA Admins のメンバである必要があります)。
Certutil -getCRL %temp%\\CA.crl
Certutil -dump %temp%\\CA.crl
2. CRL が期限切れの場合は、後述する「CRL が発行されていない」の手順を参照してください。
3. PKI Health ツールを開いて、問題の疑いがある CA の CDP エントリを表示します。 このツールは、アクセスできない CDP や期限切れの CRL を示します (ただし、有効期限内だが更新期限が切れている CRL、つまり **\[次の CRL 発行\]** の日付が過ぎた CRL については警告しません)。
**注 :** Windows Server 2003 Resource Kit で PKI Health ツールを取得できます。このツールについては、この章の最後で説明します。
4. アクセスできない CDP があった場合は、その CDP の公開サービスを調査します。
5. LDAP CDP にエラーがあった場合 (ログ ファイルで確認)、Windows 2003 サポート ツールの DCDiag ツールを使用して、CA から Active Directory ドメイン コントローラへのリンクを確認します。 このツールは、ドメイン コントローラや CA のドメイン コントローラに対する接続に問題があるかどうかを示します。 エラーを調査します。
6. \[Active Directory サイトとサービス\] MMC スナップインを使用して、CA の CDP コンテナの権限を確認します ("cn=CDP,cn=Public Key Services,cn=Services, cn=Configuration,*DC=woodgrovebank,DC=com"* の斜体部分を、使用しているフォレスト ルートの DN に置き換えてください)。
7. 一時アカウントを作成して、Cert Publishers グループに追加します。 このアカウントでログオンし、手順 1 で取得した CRL をディレクトリに手動で公開します。 次のコマンドを使用します。
certutil -dspublish CA.crl *CAHostname* *CASubjectName*.
このコマンドを実行すると、CA に Active Directory に公開するための権限があるかどうかを確認できます。
8. HTTP CDP のエラーがイベント ログ エントリ内に表示されたら 、IIS サーバーが関係しているかどうかを確認します。 接続性および権限を確認します。 スクリプトを手動で実行して、CRL を IIS サーバーへ手動で公開し (「運用作業領域のタスク」の「発行 CA CRL を Web サーバーに公開する」を参照)、エラーを確認します。 このタスクを実行する場合は、CA 自体と同じアカウント/グループ メンバシップを使用します。
9. CRL が CDP サービスに正常に公開されているにもかかわらず PKI Health でエラーが発生する場合は、CDP サービス (Active Directory または IIS 自体) に問題があります。 これらサービスのトラブルシューティングについてはこのドキュメントでは説明しません。
##### CRL が発行されていない
このような状況は通常の運用状態ではほとんど発生しません。 一般に、CA を再構成して CRL のローカル システム フォルダ (%windir%\\system32\\certsrv\\certenroll) への公開を停止しない限り、CA は CRL を常にローカルに公開します。 ローカル公開パスを再構成していない場合、CA に重大な問題が発生した可能性があります。 次のトラブルシューティング手順を実行して、問題の原因を特定してください。 この手順は CRL の問題を対象にしていますが、ほとんどの手順は汎用なので、低レベルのあらゆる証明書サービスの問題に適用できます。
**CRL 発行に関する問題をトラブルシューティングするには**
1. イベント ログに証明書サービスにより記録されたエラーがないかどうかを確認します。
2. 次のコマンドを使用して、手動で CRL を強制的に発行します (CA Admins のメンバとしてログオンします)。
Certutil -CRL
3. この手順がエラーになった場合は、もう一度イベント ログを見て新しいエラーが追加されていないかどうかを確認します。
4. CA 証明書およびルート CA までのチェーンに存在するすべての証明書を検証し、証明書関連の問題がないかどうかを確認します (証明書の期限切れ、失効など)。
5. 証明書または CRL に CA キーを使用して再署名できるかどうかを確認します (「サポート作業領域のタスク」の「有効期間を延長するために CRL または証明書に再署名する」を参照)。
6. CA を再起動して、上記の確認を再度実施します。
7. それでも CRL が発行されない場合は、デバッグ用ログを有効にします (この章で後述する「証明書サービスのログを記録する」を参照)。 そのうえで、CRL を発行してログでエラーを探します。
##### クライアントが証明書に登録できない
証明書の登録に関する問題を診断するには、次の手順に従います。
**証明書の登録に関する問題を診断するには**
1. 証明書テンプレートが CA に割り当てられていることを確認します。
2. テンプレートが割り当てられている CA に登録する権限がユーザーまたはコンピュータにあることを確認します。
3. テンプレートがサブジェクトの種類に対応していることを確認します。 ユーザー テンプレートを登録できるのはユーザーだけで、コンピュータ テンプレートを登録できるのはコンピュータだけです。
4. CA が自分および親 CA が公開した CRL にアクセスできることを確認します。 CA は証明書を発行する前に必ず失効化チェックを実施します。
5. 登録しようとしているサブジェクトが使用できない CSP の使用を証明書テンプレートが強要していないことを確認します。 たとえば、コンピュータの場合はスマート カード CSP、ユーザーの場合はスマート カードを持っていないユーザーに対する RSA SChannel CSP の使用が強要されていないかどうかを確認します。
6. **サブジェクト**または**サブジェクトの別名**フィールドに入力する情報が Active Directory に存在しない場合、証明書テンプレートがそれらを必要としないことを確認します。 よく見られる問題としては、ユーザーの Active Directory オブジェクトの電子メール フィールドが入力されていないのに、電子メール アドレスをサブジェクト名に含めるよう指定してあるということがあります。
##### クライアントが証明書に自動登録できない
自動登録の理解とトラブルシューティングの詳細については、「Certificate Autoenrollment in Windows XP」を参照してください (この章の最後の参照情報を参照)。
自動登録しようとしている証明書にクライアントが手動で登録できることを確認します。 \[証明書\] MMC スナップインを読み込んで、新しい証明書を要求します。 証明書の種類が表示されない場合、または表示されても登録しようとするとエラーになる場合は、前述の「クライアントが証明書に登録できない」の手順に従います。
手動で登録できる場合は、次の手順に進みます。
1. 使用しているプラットフォームが適切なことを確認します。 コンピュータによる証明書の自動登録をサポートしているのは Windows 2000 以降だけです。 ユーザーによる証明書の自動登録をサポートしているのは、Windows XP および Windows Server 2003 だけです。
2. 必要な証明書の種類の証明書テンプレートに対する "自動登録" の権限がユーザーまたはコンピュータにあることを確認します。
3. 自動登録グループ ポリシー設定が適切に指定されているかどうかを確認します。 自動登録が正常に機能するには、自動登録が構成される GPO がそれ以外のすべての GPO より優先順位が高い必要があります。 たとえば、自動登録 GPO がドメイン レベルで作成されている場合、既定のドメイン ポリシーより優先順位が高い必要があります。 GPO の優先順位は \[ポリシーの結果セット\] MMC スナップインで確認できます。
4. 証明書テンプレートが手動承認または登録機関 (RA) の署名を必要としないことを確認します。 証明書マネージャによる承認が必要な証明書要求を送信して承認を求めても、手動で承認されるまで証明書はユーザーに発行されません。 RA 署名が必要な要求は、自動登録要求に対して追加署名を追加する機能がないため、拒否されます。
5. 証明書テンプレートが、要求にサブジェクト情報を含めるように設定されていないことを確認します。 自動登録された証明書には、CA により設定されたサブジェクト (およびサブジェクトの別名) が必要です。
#### トラブルシューティングのツールと技術
ここでは、PKI に関する問題の診断および解決に役立つツールについて説明します。 また、証明書サービスのログ記録、および証明書サービスやクライアントの自動登録に関する詳細なログ記録を有効化する方法についても説明します。
##### PKI Health
PKI Health は、CDP および AIA の診断ツールで、エンタープライズ全体に存在するすべての CA の一覧の作成を試行します。 接続性および CDP や AIA の公開に関する問題の診断に役立ちます。また、CDP や AIA から参照される CRL または証明書をダウンロードできます。 これは Windows Server 2003 Resource Kit の一部として提供されます。
##### Certutil
Certutil は、Windows CA の管理およびトラブルシューティングで最も重要なツールです。 このツールの主な用途については、この章の最後で紹介しているホワイト ペーパー「Using Certutil.exe to Manage and Troubleshoot Certificate Services」を参照してください。
また、このツールには他にも数多くのオプションが用意されており (ホワイト ペーパーでは説明していません)、多様な管理および診断の目的で使用できます。 使用できるすべての Certutil アクション (または動詞) の一覧を表示するには、パラメータ "-?" を指定してコマンドを実行します。説明が必要な動詞を挿入すると、そのアクションの詳細な構文が表示されます。 次に例を示します。
Certutil -dsPublish -?
##### その他の診断ツール
この他にも次のような便利な診断および管理ツールがあります。
- **Certreq.exe**。 コマンド ラインから証明書要求を作成、提出、および取得できます。
- **DCDiag.exe**。 CA に影響を与える可能性がある Active Directory の問題の診断に役立ちます。
##### 証明書サービスのログを記録する
証明書サービスおよびその関連ツールは、トラブルシューティングに欠かせない各種ログを生成します。
- 証明書サービス (CA プロセス自体) によるログは %systemroot%\\certsrv.log に記録されます (デバッグ用ログが有効の場合)。
- Certutil.exe によるログは %systemroot%\\certutil.log に記録されます。
- \[証明機関\] MMC によるログは %windir%\\certmmc.log に記録されます。
**証明書サービスでデバッグ用ログを有効にするには**
- 次のコマンドを実行します。
certutil -setreg CA\\Debug 0xffffffe3
ログ エントリは %windir%\\certsrv.log に記録されます。
**デバッグ用ログを無効にするには**
- 次のコマンドを実行します。
certutil -delreg CA\\Debug
##### 自動登録のログを記録する
自動登録イベントの追加ログ記録を有効にするには、レジストリ値を追加する必要があります。 拡張ログ記録は、ユーザーとコンピュータの証明書の自動登録で個別に指定します。
**ユーザー自動登録のログ記録を有効にするには**
1. HKEY\_CURRENT\_USER\\Software\\Microsoft\\Cryptography\\Autoenrollment に **AEEventLogLevel** という名前の DWORD 値の新しいレジストリ キーを作成します。
2. 値を **0** に設定します。
**コンピュータ自動登録のログ記録を有効にするには**
1. HKEY\_LOCAL\_MACHINE\\Software\\Microsoft\\Cryptography\\Autoenrollment に **AEEventLogLevel** という名前の DWORD 値の新しいレジストリ キーを作成します。
2. 値を **0** に設定します。
**注 :** すべての障害およびエラーが自動的にログに記録されます。 障害のログ記録を有効にするためにレジストリ キーを有効にする必要はありません。
[](#mainsection)[ページのトップへ](#mainsection)
### 構成表
次の表に、この章の手順で使用されているサイト固有およびソリューション固有の構成値を示します。 これらの表は、「第 7 章 : 公開キー基盤を実装する」の構成計画表から参照用に抜粋したものです。
**表 11.16: ユーザー定義の構成項目**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >構成項目</th>
<th style="border:1px solid black;" >設定</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">Active Directory フォレストのルート ドメインの DNS 名</td>
<td style="border:1px solid black;">woodgrovebank.com</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">フォレスト ルートの DN</td>
<td style="border:1px solid black;">DC=woodgrovebank,DC=com</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">ルート CA のサーバー名</td>
<td style="border:1px solid black;">HQ-CA-01</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">発行 CA のサーバー名</td>
<td style="border:1px solid black;">HQ-CA-02</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">ルート CA の X.500 CN</td>
<td style="border:1px solid black;">Woodgrove Bank Root CA</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">発行 CA の X.500 CN</td>
<td style="border:1px solid black;">Woodgrove Bank Issuing CA 1</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA 証明書と CA 失効情報の発行に使用される Web サーバーの完全修飾ホスト名</td>
<td style="border:1px solid black;">www.woodgrovebank.com</td>
</tr>
</tbody>
</table>
**表 11.17: ソリューション定義の構成項目**
<p> </p>
<table style="border:1px solid black;">
<colgroup>
<col width="50%" />
<col width="50%" />
</colgroup>
<thead>
<tr class="header">
<th style="border:1px solid black;" >構成項目</th>
<th style="border:1px solid black;" >設定</th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td style="border:1px solid black;">公開キー サービス構成コンテナの管理者</td>
<td style="border:1px solid black;">Enterprise PKI Admins</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CRL と CA 証明書をエンタープライズ設定コンテナに発行する権限を持っている</td>
<td style="border:1px solid black;">Enterprise PKI Publishers</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA を構成および維持する代替グループ。それ以外のすべての CA 役割の割り当ておよび CA 証明書の更新に関する権限もコントロールする</td>
<td style="border:1px solid black;">CA Admins</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">証明書の登録と失効の要求を承認する管理グループ。CA Officer の役割の 1 つ</td>
<td style="border:1px solid black;">Certificate Managers</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA の監査ログおよびセキュリティ ログを管理する管理グループ</td>
<td style="border:1px solid black;">CA Auditors</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">CA のバックアップを管理する管理グループ</td>
<td style="border:1px solid black;">CA Backup Operators</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">CA 証明書および CRL 情報の公開に使用する IIS 仮想ディレクトリ名</td>
<td style="border:1px solid black;">pki</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">IIS 仮想ディレクトリに対応する、発行 CA 上の物理パス</td>
<td style="border:1px solid black;">C:\CAWWWPub</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">証明書サービス要求ファイルの格納先ドライブおよびパス</td>
<td style="border:1px solid black;">C:\CAConfig</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">証明書サービス データベースの格納先ドライブおよびパス</td>
<td style="border:1px solid black;">%systemroot%\System32\CertLog</td>
</tr>
<tr class="odd">
<td style="border:1px solid black;">証明書サービス データベース ログの格納先ドライブおよびパス</td>
<td style="border:1px solid black;">D:\CertLog</td>
</tr>
<tr class="even">
<td style="border:1px solid black;">インストール スクリプトのパス</td>
<td style="border:1px solid black;">C:\MSSScripts</td>
</tr>
</tbody>
</table>
[](#mainsection)[ページのトップへ](#mainsection)
### 関連情報
- この章に基づいて更新されたホワイト ペーパー「[Managing a Windows Server 2003 Public Key Infrastructure](https://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx)」は、www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/mngpki.mspx (英語) から入手できます。
- MOF プロセス モデルとチーム モデルの詳細については、「[Microsoft Operations Framework](https://www.microsoft.com/japan/technet/itsolutions/techguide/mof/default.mspx)」www.microsoft.com/japan/technet/itsolutions/techguide/mof/default.mspx を参照してください。
- 容量制約全般の情報および関連パフォーマンス カウンタの詳細については、マイクロソフト サポート技術情報 Q146005「[パフォーマンスのための Windows NT の最適化](https://support.microsoft.com/default.aspx?kbid=146005)」https://support.microsoft.com/default.aspx?scid=146005 を参照してください。
- MOM の導入については、 「[*Microsoft Operations Manager 2000 (MOM) Service Pack 1 (SP1) Operations Guide*](https://www.microsoft.com/download/details.aspx?familyid=556a7746-75df-4acd-8cde-26cb12148161&displaylang=en)」 www.microsoft.com/downloads/details.aspx?FamilyID=556A7746-75DF-4ACD-8CDE-26CB12148161&displaylang=en (英語) をダウンロードしてください。
- その他の運用タスクについては、「[Administer a certification authority](https://technet.microsoft.com/ja-jp/library/cc738069.aspx)」technet2.microsoft.com/windowsserver/en/library/4af2007c-a5be-4fae-86d1-311dd986e4e51033.mspx (英語) を参照してください。
- マイクロソフト プラットフォームでのセキュリティ更新プログラムの管理については、「[Improve Platform Manageability – Best Practices: Security Patch Management](https://go.microsoft.com/fwlink/?linkid=16284)」https://go.microsoft.com/fwlink/?LinkId=16284 (英語) を参照してください。
- Microsoft SMS 2003 での更新プログラムの管理については、「[Patch Management Using Systems Management Server 2003](https://www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsms/2003/pmsms031.mspx)」www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsms/2003/pmsms031.mspx (英語) を参照してください。
- Microsoft SMS 2.0 を使った更新プログラムの管理については、「[Patch Management Using Microsoft Systems Management Server 2.0](https://www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsms/20/pmsmsin.mspx)」www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsms/20/pmsmsin.mspx (英語) を参照してください。
- Microsoft Software Update サービスを使った更新プログラムの管理については、「[Patch Management Using Microsoft Software Update Services](https://www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsus/pmsus251.mspx)」www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsus/pmsus251.mspx (英語) を参照してください。
- 証明書テンプレートのプロパティの詳細については、製品のオンライン ヘルプにある「[Understanding Certificate Templates](https://technet.microsoft.com/ja-jp/library/cc781718.aspx)」https://technet2.microsoft.com/windowsserver/en/library/9c7c21a5-9a52-4190-9294-4bc4a785a4021033.mspx?mfr=true (英語) を参照してください。
- グループ ポリシー管理コンソールの取得方法と使用方法については、「[Enterprise Management with the Group Policy Management Console](https://www.microsoft.com/windowsserver2003/gpmc/default.mspx)」www.microsoft.com/windowsserver2003/gpmc/default.mspx (英語) を参照してください。
- CRL の公開に関する問題については、「[Troubleshooting Certificate Status and Revocation](https://www.microsoft.com/technet/prodtechnol/winxppro/support/tshtcrl.mspx)」www.microsoft.com/technet/prodtechnol/WinXPPro/support/tshtcrl.mspx (英語) を参照してください。
- PKI Heath ツール (PKIView.msc) を入手するには、「[Windows Server 2003 Resource Kit Tools](https://www.microsoft.com/download/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en)」www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en (英語) をダウンロードしてください。
- 自動登録の概要とトラブルシューティングについては、「[Certificate Autoenrollment in Windows XP](https://www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx)」www.microsoft.com/technet/prodtechnol/winxppro/maintain/certenrl.mspx (英語) を参照してください。
[](#mainsection)[ページのトップへ](#mainsection)
##### 目次
- [概要](https://technet.microsoft.com/ja-jp/library/30f90d1c-7faa-432f-b6c8-d4927fe36229(v=TechNet.10))
- [ソリューションの概要](https://technet.microsoft.com/ja-jp/library/30b42da7-6df7-4c17-8f81-e3129a989221(v=TechNet.10))
- [第 1 章 : ソリューションの概要](https://technet.microsoft.com/ja-jp/library/178db46c-9580-45ec-8ca8-565f7eec6521(v=TechNet.10))
- [設計ガイドの概要](https://technet.microsoft.com/ja-jp/library/e6114a19-d2e2-4f4f-9354-9a973b9e3221(v=TechNet.10))
- [第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する](https://technet.microsoft.com/ja-jp/library/798406d6-d739-4d18-879b-9ae061fa320a(v=TechNet.10))
- [第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ](https://technet.microsoft.com/ja-jp/library/40ad9fbf-71fc-4ade-af08-905a35ae95e8(v=TechNet.10))
- [第 4 章 : 公開キー基盤を設計する](https://technet.microsoft.com/ja-jp/library/26fc5cef-602a-4340-9552-f48b4d7d674e(v=TechNet.10))
- [第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する](https://technet.microsoft.com/ja-jp/library/e3e593bb-1c1d-40ad-97fc-3798b6869f18(v=TechNet.10))
- [第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する](https://technet.microsoft.com/ja-jp/library/75fadbd9-af34-4322-96ad-c609aaaa5907(v=TechNet.10))
- [構築ガイドの概要](https://technet.microsoft.com/ja-jp/library/2b673333-12a3-4bac-affe-207d148e68a0(v=TechNet.10))
- [第 7 章 : 公開キー基盤を実装する](https://technet.microsoft.com/ja-jp/library/70a59275-e4e0-4849-af0e-1af643e7b8fe(v=TechNet.10))
- [第 8 章 : RADIUS インフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/83bbb839-cc8d-4724-affb-a6ae08237f29(v=TechNet.10))
- [運用ガイドの概要](https://technet.microsoft.com/ja-jp/library/9519ea6d-b101-4981-b836-1168f32c7f1f(v=TechNet.10))
- [第 9 章 : ワイヤレス LAN のセキュリティに対応したインフラストラクチャを実装する](https://technet.microsoft.com/ja-jp/library/cc527040.aspx)
- [第 10 章 : 運用ガイドの紹介](https://technet.microsoft.com/ja-jp/library/75d535e0-e9ed-454c-98ec-2ed53ce54d52(v=TechNet.10))
- 第 11 章 : 公開キー基盤を管理する
- [第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する](https://technet.microsoft.com/ja-jp/library/56beab30-3f67-4633-9074-f5f85241b1ab(v=TechNet.10))
- [テスト ガイドの概要](https://technet.microsoft.com/ja-jp/library/7e4b9c88-3b35-41f8-b81d-9546743da068(v=TechNet.10))
- [第 13 章 : テスト ガイド](https://technet.microsoft.com/ja-jp/library/4d249b34-b07e-46af-b8c7-e2ab85f0c26e(v=TechNet.10))
- [付録](https://technet.microsoft.com/ja-jp/library/c60be0d8-d416-41bd-b173-23bdcf56bcf0(v=TechNet.10))
- [付録 A: Windows のバージョン サポート表](https://technet.microsoft.com/ja-jp/library/d55ba82b-f689-4e8a-bddd-37ab55d9f4f1(v=TechNet.10))
- [付録 B: スクリプトとサポート ファイル](https://technet.microsoft.com/ja-jp/library/ecfc00f9-d0a2-44b0-b92e-73d714462bbe(v=TechNet.10))
- [付録 C: 配信ガイド](https://technet.microsoft.com/ja-jp/library/7fdf9700-34db-4b0f-92d1-f6a6d8dbe5e1(v=TechNet.10))
- [付録 D: WPA のサポート](https://technet.microsoft.com/ja-jp/library/cc527037.aspx)
[](#mainsection)[ページのトップへ](#mainsection)