Active Directory 証明書サービス (AD CS) を設定するには、次の手順に従います。 これにより、ネットワーク ポリシー サーバー (NPS)、ルーティングとリモート アクセス サービス (RRAS)、またはその両方を実行しているサーバーにサーバー証明書を発行できます。
Prerequisites
Membership in both the Enterprise Admins and the root domain's Domain Admins group is the minimum requirement to complete this procedure.
Active Directory 証明書サービスをインストールする前に、 コンピューターに名前を付け、静的 IP アドレスを使用してコンピューターを構成し、コンピューターをドメインに参加させる必要があります。
- これらのタスクを実行する方法の詳細については、Windows Server Core ネットワーク コンポーネントを参照してください。
- この手順を実行するには、AD CS をインストールするコンピューターが、Active Directory Domain Services (AD DS) がインストールされているドメインに参加している必要があります。
PowerShell を使用して Active Directory 証明書サービスをインストールする
Windows PowerShell を使用して Active Directory 証明書サービスをインストールするには、次の手順を実行します。
Windows PowerShell を開き、次のコマンドを入力し、Enter キーを押します。
Install-WindowsFeature -Name ADCS-Cert-Authority -IncludeManagementToolsAD CS をインストールした後は、次のコマンドを入力し、ENTER キーを押します。
Install-AdcsCertificationAuthority -CAType EnterpriseRootCA
For more information about this cmdlet, and its available parameters, see Install-AdcsCertificationAuthority.
サーバー マネージャーを使用して Active Directory 証明書サービスをインストールする
サーバー マネージャーを使用して Active Directory 証明書サービスをインストールするには、次の手順を実行します。
Enterprise Admins グループとルート ドメインの Domain Admins グループの両方のメンバーとしてログオンします。
In Server Manager, select Manage, and then select Add Roles and Features to open the Add Roles and Features Wizard.
開始 する前に、[ 次へ] を選択します。
Note
[役割と機能の追加] ウィザードの [ 開始する前 に] ページは、 既定で [このページをスキップ] を選択した場合は表示されません。
[ インストールの種類の選択] で、 Role-Based または機能ベースのインストール が選択されていることを確認し、[ 次へ] を選択します。
[ 移行先サーバーの選択] で、[ サーバー プールからサーバーを選択する ] が選択されていることを確認します。 In Server Pool, ensure that the local computer is selected. Select Next.
[ サーバーの役割の選択] の [ 役割] で、[ Active Directory 証明書サービス] を選択します。 When you're prompted to add required features, select Add Features, and then select Next.
In Select features, select Next.
Active Directory 証明書サービスで、指定された情報を読み取り、[次へ] を選択します。
[ インストールの選択の確認] で、[インストール] を選択 します。 インストール プロセス中にウィザードを閉じないでください。 インストールが完了したら、 移行先サーバーで [Active Directory 証明書サービスの構成] を選択します。 AD CS の構成ウィザードが開きます。 資格情報を読み取るし、必要な場合は、Enterprise Admins グループのメンバーであるアカウントの資格情報を指定します。 Select Next.
In Role Services, select Certification Authority, and then select Next.
On the Setup Type page, verify that Enterprise CA is selected, and then select Next.
[ CA の種類の指定 ] ページで、[ ルート CA ] が選択されていることを確認し、[ 次へ] を選択します。
[ 秘密キーの種類の指定 ] ページで、[ 新しい秘密キーの作成 ] が選択されていることを確認し、[ 次へ] を選択します。
[CA の暗号化] ページで、CSP (RSA#Microsoft ソフトウェア キー ストレージ プロバイダー) とハッシュ アルゴリズム (SHA2) の既定の設定をそのまま使用し、デプロイに最適なキー文字の長さを決定します。 大規模なキー文字列の長さが最適なセキュリティを提供します。ただし、サーバーのパフォーマンスに影響を与えることができますが、従来のアプリケーションと互換性がない可能性があります。 既定の設定である 2048 のままにしておくことをお勧めします。 Select Next.
On the CA Name page, keep the suggested common name for the CA or change the name according to your requirements. AD CS をインストールした後に CA 名を変更できないため、CA 名が名前付け規則や目的と互換性があることを確認してください。 Select Next.
On the Validity Period page, in Specify the validity period, type the number and select a time value (Years, Months, Weeks, or Days). 5 年間の既定の設定をお勧めします。 Select Next.
On the CA Database page, in Specify the database locations, specify the folder location for the certificate database and the certificate database log. 既定の場所以外の場所を指定する場合は、フォルダーが承認されていないユーザーまたはコンピューターが、CA データベースとログ ファイルにアクセスすることを防ぐアクセス制御リスト (Acl) で保護されていることを確認します。 Select Next.
In Confirmation, select Configure to apply your selections, and then select Close.