スマートカードでログインできるようにActive Directoryを構成する際のメモ

今日理解したことをメモ。

  • スマートカードでログオンするためには以下の証明書が必要。
  • ドメインコントローラーにドメインコントローラー証明書
  • Configurationパーティション内のNTAuthにルート証明書
  • クライアントの”信頼されたルート証明機関”にルート証明書
  • クライアント側のスマートカード内にスマートカード証明書

ドメインコントローラー証明書

  • ドメインコントローラー証明書はドメインコントローラーが自動登録の機能(AutoEnrollment)を使って自動的に取得しようとする。
  • Enterprise CAがActive Directory内にあれば自動的に取得される。
  • Windows Server 2003 SP1以降ではDCOMのセキュリティ設定の変更により、失敗することがある。

ルート証明書

  • EnterpriseCAを構築すればNTAuthへの登録は自動的になされる
  • サードパーティーのCAを使用するためにはNTAuthへ手動で登録しなくてはいけない。
  • 信頼されたルート証明機関へのルート証明書の登録は通常通りに行えばいい。
    • EnterpriseCAの場合には自動的に登録される

    スマートカード証明書

    • 管理者が他人のスマートカード証明書を取得するためには登録エージェント証明書が必要なので、事前に取得する。
    • IISのCertSrvから「スマート カードの証明書登録ステーションを使用して、ほかのユーザー用のスマートカードの証明書を要求する。」が行える。
    • IISのCertSrvが表示されない場合には、Active Server Pagesの有効化が必要。

    参考URL

    スマートカード認証をするときには以下のあたりのURLが参考になる

    コメントを残す