コア ネットワーク必携ガイド: コンピューターとユーザー証明書の展開

適用対象: Windows Server 2012

Windows Server® 2012 計画および展開を完全に機能しているネットワークに新しいフォレストに新しい Active Directory® ドメインに必要なコンポーネントのコア ネットワーク ガイドで説明します。

この必携ガイドでは、Active Directory 証明書サービス (AD CS) でクライアント コンピューターとユーザーの証明書を展開するための指示を提供することにより、コア ネットワーク上を構築する方法について説明します。

このガイドは次のセクションで構成されます。

• このガイドを使用するための前提条件

• このガイドについて

• このガイドで説明されていないもの

• テクノロジの概要

• 証明書の展開の概要

• 証明書の展開の計画

• 証明書の展開

• その他の情報

このガイドを使用するための前提条件

これは、Windows Server 2012 コア ネットワーク ガイドの必携ガイドです。 このガイドでのコンピューターとユーザーの証明書を展開するには、最初で次行う必要があります。

1. コア ネットワーク ガイドを使用して、コア ネットワークを展開するか、既にテクノロジで提供され、正しく機能しているネットワーク上のコア ネットワーク ガイド。 これらのテクノロジには、TCP/IP v4、DHCP、Active Directory ドメイン サービス (AD DS)、DNS、NPS、および Web サーバー (IIS) が含まれます。

   注意

   Windows Server 2012 コア ネットワーク ガイドが記載されている、 Windows Server 2012 テクニカル ライブラリ (https://go.microsoft.com/fwlink/?LinkId=154884)。

   コア ネットワーク ガイドは、Microsoft TechNet ギャラリーに Word 形式でも (https://gallery.technet.microsoft.com/Windows-Server-2012-and-7c5fe8ea)。

2. コンピューター証明書またはユーザー証明書をネットワーク アクセスの認証証明書ベースの認証方法を使用して場合は、NPS サーバー、RRAS サーバー、またはその両方コア ネットワーク必携ガイドを使用して、サーバー証明書を展開する必要があります: サーバー証明書の展開必要が既に展開している公開キー基盤 (PKI) や、ネットワーク アクセスの認証の要件を満たしているサーバー証明書。

   注意

   Windows Server 2012 コア ネットワーク必携ガイド: サーバー証明書の展開が含まれている、 Windows Server 2012 テクニカル ライブラリ (https://go.microsoft.com/fwlink/p/?LinkId=251948)。

   コア ネットワーク必携ガイド: サーバー証明書の展開は、Microsoft TechNet ギャラリーに Word 形式でも (https://gallery.technet.microsoft.com/Windows-Server-2012-Core-e0970aa7)。

このガイドについて

このガイドでは、AD CS を使用して、ドメイン メンバー コンピューターとドメイン ユーザーへのクライアント コンピューターとユーザーの証明書の展開についてを説明します。

証明書はネットワーク アクセスの認証に使用されます。証明書を使用すると、ユーザーとコンピューターの認証に強力なセキュリティが提供され、安全性の低いパスワードベースの認証が不要になります。

仮想プライベート ネットワーク (VPN) サーバー、および実行しているコンピューターのトランスポート層セキュリティ (EAP-TLS) または TLS (PEAP-TLS) で保護された EAP 拡張認証プロトコルを展開すると、サーバーの認証に必要な証明書、クライアント コンピューターまたはユーザーのいずれかの中にネットワーク接続、試みます 802.1 X 対応スイッチやワイヤレス アクセスなどのネットワーク アクセス サーバーを介してポイント、 Windows Server 2012 およびリモート デスクトップ ゲートウェイ (RD ゲートウェイ) または Windows Server 2008 やターミナル サービス ゲートウェイ (TS ゲートウェイ) です。

AD CS には、EAP および PEAP 証明書ベースの認証方法で証明書を展開するには、次の利点が提供されます。

• 秘密キーに、NPS、RRAS サーバー、ユーザー、またはクライアント コンピューターを実行しているサーバーの id をバインドする証明書ベースの認証で提供されるセキュリティ

• 証明書を自動的に登録することができますを管理するためのコスト効果の高い、セキュリティで保護されたメソッドは、更新、およびドメイン メンバー コンピューターとドメインのユーザーに証明書の失効

• 証明機関 (Ca) を管理するための効率的な方法

• 他の種類のコンピューター、ユーザー、またはサーバーの認証以外の目的で使用される証明書を展開する権限です。 たとえば、電子メールにデジタル署名する機能をユーザーに提供する証明書を展開するまたはソフトウェア コード署名に使用される証明書を発行することができます。

このガイドがの指示に従っているネットワークとシステム管理者向けに設計された、 Windows Server 2012 コア ネットワーク ガイドをネットワークを展開する方のため、コア ネットワークに含まれるテクノロジが以前に展開を含む Active Directory ドメイン サービス (AD DS)、ドメイン ネーム システム (DNS)、動的ホスト構成プロトコル (DHCP)、TCP/IP、ネットワーク ポリシー サーバー (NPS) および Web サーバー (IIS) やします。

このデプロイ シナリオで使用される各テクノロジについては、それぞれの設計ガイドやデプロイ ガイドを参照することをお勧めします。 これらのガイドは、この展開シナリオが組織のネットワークに必要な構成とサービスを提供するかどうかを判断するのに役立ちます。

コンピューターとユーザーの証明書の展開の要件

次は、クライアント コンピューターとユーザー証明書自動登録を使用して展開するための要件を示します。

• AD DS がインストールされているとその他のネットワーク テクノロジの説明に従って、 Windows Server 2012 コア ネットワーク ガイドです。

• クライアント コンピューターとユーザーの証明書の自動登録を実行するには、CA を実行する必要があります、 Windows Server 2008 または Windows Server ® 2008 R2 Enterprise または Datacenter オペレーティング システムとは、発行元の CA か、CA を実行する必要があります、 Windows Server 2012 Standard、Enterprise、または Datacenter オペレーティング システム、発行元 CA である必要があります。 AD CS は、単一のサーバーに配置できますが、多くの展開は、複数のサーバーとの下位 Ca として構成されている 2 階層の公開キー基盤を使用します。

• EAP-TLS または PEAP-TLS を展開するには、NPS サーバーにサーバー証明書を登録する必要がありを実行するコンピューターの仮想プライベート ネットワーク (VPN) サーバーとして RRAS サーバーを使用している Windows Server 2008, 、Windows Server ® 2008 R2, 、または Windows Server 2012 およびルーティングとリモート アクセス サービス (RRAS)。 このガイドに記載の自動登録サーバーの証明書があることを想定しています、 Windows Server 2012 コア ネットワーク必携ガイド: サーバー証明書の展開、HTML 形式で使用可能な Windows Server 2012 テクニカル ライブラリ (https://technet.microsoft.com/en-us/library/jj125379)。

• PEAP または EAP vpn を展開するには、ルーティングと VPN サーバーとして構成されているリモート アクセスを展開する必要があります。 NPS の使用は省略可能です。ただし、複数の VPN サーバーがあれば、NPS を使用して、推奨管理の簡素化し、NPS は RADIUS アカウンティングのサービスの。

• TS ゲートウェイでの PEAP または EAP を展開する Windows Server 2008 または RD ゲートウェイの Windows Server 2012, 、TS ゲートウェイと NPS または RD ゲートウェイと NPS をそれぞれ展開する必要があります。

• 配置する PEAP または EAP 802.1 X をセキュリティで保護されたワイヤード (有線) またはワイヤレス、する必要があります配置 NPS および 802.1 X 対応スイッチやワイヤレス アクセス ポイントなどの追加のハードウェア。

このガイドで説明されていないもの

このガイドでは、次の内容についてについては説明しません。

• スマート カードを使用してクライアント コンピューターとユーザーの証明書を展開する方法。

• 自動登録サーバーの証明書を展開する方法。

• 設計および AD CS を使用して、公開キー基盤 (PKI) を展開する方法です。 このガイドのテクノロジを展開する前に AD CS の設計と展開のドキュメントを確認することをお勧めします。 詳細については、次を参照してください。 その他のリソースします。

• 証明書を使用する、サーバーのネットワーク アクセス テクノロジを展開する方法です。 これらのネットワーク アクセス ソリューションを展開するための指示を提供する利用可能なその他の必携ガイドである可能性があります。 この情報を NPS のドキュメントを確認することもできます。

テクノロジの概要

クライアント コンピューターとユーザー証明書、EAP、PEAP、および AD CS のテクノロジの概要を次に示します。

AD CS

AD CS で Windows Server 2012 はカスタマイズ可能なサービスの作成と公開キー テクノロジを採用しているソフトウェア セキュリティ システムで使用される X.509 証明書の管理を提供します。 組織は、AD CS を使用して、個人、デバイス、またはサービスの id を対応する公開キーにバインドすることによってセキュリティを強化することができます。 AD CS には、証明書の登録と失効多様な拡張性の高い環境で管理するための機能も含まれています。

クライアント コンピューターとユーザーの証明書

EAP-TLS または PEAP-TLS を展開するときに、クライアント コンピューターの認証、ユーザー認証のユーザー証明書またはその両方のコンピューターの証明書を展開できます。

クライアント コンピューターとユーザーの証明書を展開するための 2 つの方法はあります。

• スマート カードを使用してします。 スマート カードを使用して証明書を展開するときに、書き込むユーザー id の証明書や他のカードは、従業員がネットワークにログオンするために使用する追加のハードウェアを購入する必要があります。 さらに、ユーザーがログオンしたときに、スマート カードに刻印された証明書を読み取るに使用するスマート カード リーダーを指定してください。

  重要

  このガイドでは、スマート カードを使用してクライアント コンピューターとユーザーの証明書の展開方法の詳細については説明しません。

• 自動登録を使用してします。 自動登録を使用して証明書を展開するときに、ドメイン コンピューター グループのメンバーであるコンピューターとドメイン ユーザー グループのメンバーであるユーザーの証明書を自動的に登録する CA を構成します。 追加のハードウェアは必要ありません、自動登録証明書には、ネットワークに接続しているコンピューターに証明書が格納されるためです。 CA からのコンピューターまたはユーザーの証明書を受信すると、コンピューターは、証明書は証明書ストアをという名前のデータ ストアにローカルに格納されます。

証明書ストア

を、Windows オペレーティング システムを実行しているコンピューターで、コンピューターにインストールされている証明書と呼ばれる記憶域内に保持する、 証明書ストアします。 証明書ストアは、証明書 Microsoft 管理コンソール (MMC) スナップインを使用してアクセスできます。

このストアには、さまざまな種類の証明書が格納されている複数のフォルダーが含まれています。 たとえば、証明書ストアには、すべての信頼されたルート証明機関から証明書が保持されている信頼されたルート証明機関] フォルダーが含まれています。

組織の PKI を展開およびプライベートの信頼されたルート CA を使用して、インストール時に AD CS、CA に自動的に証明書を送信を組織内のすべてのドメイン メンバー コンピューターです。 ドメイン メンバー クライアントとサーバー コンピューターでは、現在のユーザーとローカル コンピューターの証明書ストアの信頼されたルート証明機関フォルダーに CA 証明書を保存します。 これが発生した後、ドメイン メンバー コンピューターは、信頼されたルート CA によって発行される証明書を信頼します。

同様に、ときに、ドメイン メンバー クライアント コンピューターに自動登録するコンピューターの証明書、証明書に保持されます、ローカル コンピューターの個人証明書ストア。 するユーザーに自動登録証明書、ユーザー証明書に保持されます現在のユーザーの個人証明書ストア。

EAP

拡張認証プロトコル (EAP) は、任意の長さの資格情報と情報の交換を使用する任意の認証方法を可能にすることで、Point-to-Point プロトコル (PPP) を拡張したものです。 EAP は、スマート カード、トークン カード、および暗号電卓などのセキュリティ デバイスを使用する認証方法の需要に対応に開発されました。 EAP は、PPP 内で追加の認証方法をサポートするための業界標準のアーキテクチャを提供します。

EAP では、任意の認証メカニズムを使用して、クライアントとサーバーの id をネットワーク アクセス接続を確立することを確認します。 使用する認証方式をネゴシエートするには、アクセス クライアントと認証システム (ネットワーク アクセス サーバーまたは RADIUS サーバー)。

正常に認証が発生する、ネットワーク アクセス クライアントと認証システム (NPS を実行するサーバー) などの両方が同じ EAP の種類をサポートする必要があります。

[EAP Windows Server 2012

Windows Server 2012 EAP 基盤、2 種類の EAP と EAP メッセージを NPS などの RADIUS サーバー (EAP-RADIUS) に渡す機能が含まれます。

EAP を使用するには、EAP の種類と呼ばれる追加の認証方式をサポートできます。 EAP の種類でサポートされている Windows Server 2012 は。

• **トランスポート層セキュリティ (TLS)**します。 EAP を使用する場合に、コンピューター証明書または NPS を実行するコンピューターに登録されているサーバー証明書だけでなく、ユーザーの証明書の使用が必要です。

• **Microsoft チャレンジ ハンドシェイク認証プロトコルのバージョン 2 (MS-CHAP v2)**します。 この種類の EAP は、パスワード ベースの認証プロトコルです。 EAP MS-CHAP v2 認証方法として EAP 内で使用した場合 NPS および RRAS サーバーはユーザーに対してユーザー名とパスワードを持つ id 証明中に、クライアント コンピューターの識別の証拠としてサーバー証明書を提供します。

• トランスポート層セキュリティ (TTLS) トンネリングされたします。 機能により、EAP-TTLS Windows Server 2012 し、その他のバージョンの Windows Server では使用できません。 EAP-TTLS は、標準ベースの EAP トンネリング方法であり、相互認証をサポートします。 EAP-TTLS は、EAP メソッドやその他の従来のプロトコルを使用して、クライアント認証のためのセキュリティ保護されたトンネルを提供します。 また、EAP-TTLS を使用すると、ネットワーク アクセス ソリューションのためにクライアント コンピューター上に EAP-TTLS を構成できます。この場合、EAP-TTLS をサポートする Microsoft 以外のリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーが認証に使用されます。

さらに、その他の EAP 認証の種類を提供するには、NPS またはルーティングとリモート アクセスを実行しているサーバーに他の Microsoft 以外の EAP モジュールをインストールできます。 ほとんどの場合、サーバーでは、その他の EAP の種類をインストールする場合必要がありますも一致する EAP クライアント認証コンポーネントをインストールするクライアント コンピューター、クライアントとサーバーにより正常に接続要求に使用する認証方法がネゴシエートできるようにします。

PEAP

PEAP では、TLS を使用して、ワイヤレス コンピューターと NPS または他の RADIUS サーバーを実行しているサーバーなどの PEAP 認証システムなどの認証の PEAP クライアント間の暗号化されたチャネルを作成します。

PEAP は認証方法を指定していないが、他の EAP 認証プロトコル (EAP-MSCHAP v2) など PEAP が提供する TLS 暗号化チャネルを通じて動作できる追加のセキュリティを提供します。 PEAP は、次の種類のネットワーク アクセス サーバー経由で組織のネットワークに接続するアクセス クライアントの認証方法として使用されます。

• 802.1 X 対応ワイヤレス アクセス ポイント

• 802.1 X 対応認証スイッチ

• 実行するコンピューター Windows Server 2012 または Windows Server 2008 R2 と RRAS VPN サーバーとして構成されています。

• 実行するコンピューター Windows Server 2012 または Windows Server 2008 R2 と RD ゲートウェイ

PEAP の機能

EAP プロトコルとネットワークのセキュリティ強化のため、PEAP を提供します。

• クライアントとサーバー間に発生する EAP によるネゴシエーションの保護を提供する TLS チャネル。 この TLS チャネルは、攻撃者が少ないセキュリティで保護された EAP の種類のネゴシエーションが発生するには、クライアントとネットワーク アクセス サーバー間でパケットを挿入するを防ぐのに役立ちます。 TLS チャネルの暗号化は、NPS を実行しているサーバーに対するサービス拒否攻撃の拒否を防ぐためにも役立ちます。

• 断片化とこの機能を提供しない EAP の種類の使用を許可する、メッセージの再構築をサポートします。

• NPS または他の RADIUS サーバーを認証することであるクライアント。 サーバーも、クライアントを認証するためには、相互認証が行われます。

• EAP クライアントが NPS を実行しているサーバーによって提供される証明書を認証するときに、その時点で、承認されていないワイヤレス アクセス ポイントの展開から保護します。 さらに、PEAP 認証システムと、クライアントによって作成された TLS マスター シークレットは、アクセス ポイントとは共有されません。 このため、アクセス ポイントは、PEAP で保護されているメッセージを暗号化解除できません。

• PEAP のすばやい再接続、クライアントによる認証要求から NPS または他の RADIUS サーバーによる応答までの遅延を減らすことです。 高速再接続ワイヤレス クライアント認証を繰り返し要求することがなく、同じ RADIUS サーバーを RADIUS クライアントとして構成されているアクセス ポイント間を移動することもできます。 こうクライアントとサーバーのリソース要件と、資格情報をユーザーが求めるメッセージが表示された回数の数を最小限に抑えします。

EAP-TLS および PEAP-TLS で展開の概要

EAP-TLS または PEAP-TLS を展開するための一般的な手順を次に示します。

• EAP と RADIUS 対応の両方であるネットワーク アクセス サーバー (RADIUS クライアント) を展開します。

• 自動登録では、サーバーの NPS を実行しているサーバー証明書と該当する場合、ルーティングとリモート アクセス VPN サーバーです。

• 自動登録のコンピューター証明書、ユーザー証明書、またはその両方のドメイン メンバ コンピュータとユーザーをそれぞれ、または作成した他のグループにします。

• NPS の RADIUS クライアントとしてネットワーク アクセス サーバーを構成します。

• NPS または RRAS のネットワーク ポリシーで EAP 認証を構成します。

• クライアント コンピューターが EAP をサポートすることを確認します。 既定では、 Windows® 8, 、Windows® 7, 、および Windows Vista® EAP をサポートします。

グループ ポリシー

Windows Server 2012 のグループ ポリシーは、Active Directory 環境内のユーザーおよびコンピューターのターゲット グループに、1 つ以上の希望する構成やポリシー設定を適用するために使用される処理インフラストラクチャです。 このインフラストラクチャは、1 つのグループ ポリシー エンジンと、ターゲット クライアント コンピューター上のポリシー設定の読み取りを行う複数のクライアント側拡張機能 (CSE) で構成されます。 グループ ポリシーは、登録して、ユーザー、コンピューター、またはその両方に証明書を配布するこのシナリオで使用されます。