今日理解したことをメモ。

  • スマートカードでログオンするためには以下の証明書が必要。

  • ドメインコントローラーにドメインコントローラー証明書
  • Configurationパーティション内のNTAuthにルート証明書
  • クライアントの”信頼されたルート証明機関”にルート証明書
  • クライアント側のスマートカード内にスマートカード証明書

ドメインコントローラー証明書

  • ドメインコントローラー証明書はドメインコントローラーが自動登録の機能(AutoEnrollment)を使って自動的に取得しようとする。
  • Enterprise CAがActive Directory内にあれば自動的に取得される。

  • Windows Server 2003 SP1以降ではDCOMのセキュリティ設定の変更により、失敗することがある。

  • その場合にはCERTSVC_DCOM_ACCESSグループにDomain Controllersグループを入れればよい。
  • ただし、CERTSVC_DCOM_ACCESSグループ自体が存在しないことがある。その場合には「certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG」を実行したうえでcertsvcを再起動し、DCOMセキュリティ設定を更新すればよい。
  • Windows Server 2003 Service Pack 1 のインストール後の DCOM セキュリティ設定の変更について

ルート証明書

スマートカード証明書

  • 管理者が他人のスマートカード証明書を取得するためには登録エージェント証明書が必要なので、事前に取得する。
  • IISのCertSrvから「スマート カードの証明書登録ステーションを使用して、ほかのユーザー用のスマートカードの証明書を要求する。」が行える。
  • IISのCertSrvが表示されない場合には、Active Server Pagesの有効化が必要。

参考URL

スマートカード認証をするときには以下のあたりのURLが参考になる