サードパーティの CA を用いてスマート カード ログオンを有効にするガイドライン

文書翻訳 文書翻訳
文書番号: 281245 - 対象製品
この記事は、以前は次の ID で公開されていました: JP281245
すべて展開する | すべて折りたたむ

目次

概要

この資料のガイドラインに従って、Microsoft Windows 2000 およびマイクロソフト以外の証明機関 (CA) を使用するスマート カード ログオン処理を有効にできます。この資料の後半で説明しますが、この構成ではサポートが制限されています。

詳細

必要条件

Active Directory でスマート カード認証を使用する場合、スマート カード ワークステーション、Active Directory、および Active Directory ドメイン コントローラが正しく構成されている必要があります。また、Active Directory は証明機関 (CA) を信頼して、その CA からの証明書に基づいてユーザーを認証する必要があります。さらに、スマート カード ワークステーションとドメイン コントローラの両方に、正しく構成された証明書が設定されている必要があります。

PKI 実装の場合と同様、関係するすべてのコンピュータが、発行元である CA のルート CA を信頼する必要があります。ドメイン コントローラとスマート カード ワークステーションの両方は、このルートを信頼します。

Active Directory とドメイン コントローラの構成

  • 必須 : Active Directory は、サードパーティが発行した CA を NTAuth ストアに設定して、Active Directory に対するユーザーの認証を実行する必要があります。
  • 必須 : スマート カード ユーザーを認証するためには、ドメイン コントローラにドメイン コントローラの証明書を構成する必要があります。
  • オプション : グループ ポリシーを使用してすべてのドメイン メンバの信頼されたルート CA ストアにサードパーティ ルート CA を配布するように Active Directory を構成できます。

スマート カード証明書とワークステーションの必要条件

  • 必須 : この資料の「構成手順」で説明されているスマート カードの必要条件をすべて満たす必要があります (フィールドをテキスト形式で設定するなど)。1 つでも満たされていない場合、スマート カードの認証は失敗します。
  • 必須 : スマート カード証明書と秘密キーをスマート カードにインストールする必要があります。

構成手順

  1. サードパーティのルート証明書をエクスポートまたはダウンロードします。サードパーティ ルート証明書の入手方法は、ベンダによって異なります。証明書の形式は、Base64 Encoded X.509 である必要があります。
  2. Active Directory グループ ポリシー オブジェクトの信頼されたルートに、サードパーティ ルート CA を追加します。すべてのドメイン コンピュータの信頼されたルート ストアにサードパーティ CA を配布するように Windows 2000 ドメインのグループ ポリシーを構成するには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[プログラム]、[管理ツール] を順にポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。
    2. 左ウィンドウで、編集するポリシーが適用されているドメインを見つけます。
    3. ドメインを右クリックし、[プロパティ] をクリックします。
    4. [グループ ポリシー] タブをクリックします。
    5. [Default Domain Policy] グループ ポリシー オブジェクトをクリックし、[編集] をクリックします。新しいウィンドウが開きます。
    6. 左側のウィンドウで次の項目を順に展開します。
      • コンピュータの構成
      • Windows の設定
      • セキュリティの設定
      • 公開キーのポリシー
    7. [信頼されたルート証明機関] を右クリックします。
    8. [すべてのタスク] をポイントし、[インポート] をクリックします。
    9. ウィザードの指示に従って、証明書をインポートします。
    10. [OK] をクリックします。
    11. [グループ ポリシー] ウィンドウを閉じます。
  3. サードパーティが発行した CA を、Active Directory の NTAuth ストアに追加します。

    スマート カード ログオン証明書は、NTAuth ストア内の CA から発行される必要があります。デフォルトで Microsoft エンタプライズ CA が NTAuth ストアに追加されます。
    • スマート カード ログオン証明書またはドメイン コントローラの証明書を発行した CA が、NTAuth ストアに適切に追加されない場合、スマート カード ログオン処理は機能しません。該当するエラー "Unable to verify the credentials" が表示されます。
    • NTAuth ストアはフォレストの構成コンテナに格納されています。以下は、格納場所のサンプルです。
      LDAP://server1.name.com/CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=name,DC=com
    • このストアは、Microsoft エンタプライズ CA をインストールしたときにデフォルトで作成されます。このオブジェクトは、Windows 2000 サポート ツールの ADSIedit.msc を使用するか、LDIFDE を使用して手動で作成することもできます。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
      295663 [HOW TO] サードパーティの証明書を NTAuth ストアにインポートする方法
    • 関連する属性は cACertificate です。この属性は、ASN でエンコードされた証明書の複数の値の一覧であり、オクテット文字列です。

      サードパーティの CA を NTAuth ストアに追加した後、ドメインベースのグループ ポリシーにより、ドメイン内のすべてのコンピュータの以下の場所にレジストリ キー (証明書の拇印) が設定されます。
      HKEY_LOCAL_MACHINE\Software\Microsoft\EnterpriseCertificates\NTAuth\Certificates
      このポリシーは、ワークステーションで 8 時間 (グループ ポリシーの通常のパルス間隔) おきに更新されます。
  4. ドメイン コントローラでドメイン コントローラの証明書を要求してインストールします。スマート カード ユーザーの認証を実行するすべてのドメイン コントローラに、ドメイン コントローラの証明書が設定されている必要があります。

    Microsoft エンタプライズ CA を Active Directory フォレストにインストールした場合、すべてのドメイン コントローラはドメイン コントローラの証明書を自動登録します。

    サードパーティ CA からのドメイン コントローラ証明書の必要条件に関する関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    291010 サードパーティ CA からのドメイン コントローラ証明書の必要条件
    : ドメイン コントローラの証明書は、SSL (Secure Sockets Layer) 認証、SMTP (Simple Mail Transfer Protocol) 暗号化、RPC (リモート プロシージャ コール) 署名、スマート カード ログオン処理で使用されます。マイクロソフト以外の CA を使用してドメイン コントローラに証明書を発行すると、予期しない現象や、サポートされない結果が発生する場合があります。適切な形式ではない証明書や、サブジェクト名のない証明書は、上記の機能やその他の機能の応答を停止させる場合があります。
  5. サードパーティの CA からスマート カード証明書を要求します。

    前述した必要条件を満たすサードパーティの CA の証明書を登録します。登録方法は CA ベンダによって異なります。

    スマート カード証明書には、以下の証明書形式の固有の必要条件があります。
    • CDP (CRL 配布ポイント) の場所が設定されており、オンラインで、利用可能になっている必要があります (CRL は証明書失効リスト (Certification Revocation List) を表します)。以下に例を示します。
      [1]CRL Distribution Point
      Distribution Point Name:
      Full Name:
      URL=http://server1.name.com/CertEnroll/caname.crl
    • キー使用法 = デジタル署名
    • 基本制限 = [サブジェクト タイプ = エンド エンティティ、パス長制限 = なし] (省略可能)
    • 拡張キー使用法 =
      • クライアント認証 (1.3.6.1.5.5.7.3.2)
        (クライアント認証の OID が必要になるのは、証明書が SSL 認証で使用される場合だけです。)
      • スマート カード ログオン (1.3.6.1.4.1.311.20.2.2)
    • サブジェクトの別名 = OtherName : プリンシパル名 = (UPN) 以下に例を示します。
      UPN = user1@name.com
      UPN OtherName : "1.3.6.1.4.1.311.20.2.3"
      UPN OtherName 値 : ASN1 でエンコードした UTF8 文字列である必要があります。
    • サブジェクト = ユーザーの識別名です。このフィールドは必須の拡張ですが、このフィールドへのデータ設定は省略可能です。
  6. スマート カードのドライバとソフトウェアをスマート カード ワークステーションにインストールします。

    適切なスマート カード リーダー デバイスおよびドライバ ソフトウェアがスマート カード ワークステーションにインストールされていることを確認します。インストールされる内容は、スマート カード リーダーのベンダによって異なります。
  7. サードパーティのスマート カード証明書をスマート カード ワークステーションにインストールします。

    手順 4. の登録プロセスで、スマート カードがスマート カード ユーザーのパーソナル ストアに追加されていない場合、証明書をユーザーのパーソナル ストアにインポートする必要があります。そのためには、以下の手順を実行します。
    1. 証明書スナップインを含む Microsoft 管理コンソール (MMC) を開きます。
    2. コンソール ツリーの [個人] の下に表示される [証明書] をクリックします。
    3. [すべてのタスク] メニューの [インポート] をクリックして、証明書のインポート ウィザードを開始します。
    4. インポートする証明書を含んだファイルをクリックします。

      : 証明書を含んだファイルが Personal Information Exchange (PKCS #12) ファイルである場合、秘密キーの暗号化に使用したパスワードを入力します。そして、秘密キーをエクスポートできるようにする場合は適切なチェック ボックスをオンにします。次に、[秘密キーの保護を強力にする] チェック ボックスをオンにします (この機能を使用する場合)。

      : [秘密キーの保護を強力にする] 機能を利用するには、論理証明書ストア ビュー モードを使用する必要があります。
    5. オプションを選択すると、証明書の種類に基づいて証明書ストアに証明書が自動的に追加されます。
  8. サードパーティ スマート カード証明書をスマート カードにインストールします。インストールする方法は、暗号化サービス プロバイダ (CSP) およびスマート カード ベンダによって異なります。具体的な手順については、ベンダのマニュアルを参照してください。
  9. スマート カードを使用してワークステーションにログオンします。

発生する可能性のある問題

スマート カードのログオン中、次のエラー メッセージが表示されることがあります。
ログオンできませんでした。認証情報が確認できませんでした。
これは一般的なエラー メッセージであり、次に示す 1 つまたは複数の問題が発生した結果、表示される場合があります。

証明書と構成に関する問題

  • ドメイン コントローラにドメイン コントローラの証明書が設定されていません。
  • スマート カード証明書の SubjAltName フィールドの書式が正しくありません。SubjAltName フィールド内の情報が 16 進数/ASCII 生データとして表示される場合、そのテキストの書式は ASN1/UTF-8 ではありません。
  • ドメイン コントローラに、別の無効な証明書または不完全な証明書が設定されています。
  • 次の各条件に該当する場合、有効で新しいドメイン コントローラの証明書を要求する必要があります。有効なドメイン コントローラの証明書の有効期限が切れている場合、ドメイン コントローラの証明書を更新することができます。ただし、この更新プロセスは、新しいドメイン コントローラの証明書を要求するプロセスに比べて、複雑であり、一般的に困難な作業を伴います。
    • ドメイン コントローラの証明書の有効期限が切れています。
    • ドメイン コントローラに、信頼されていない証明書が設定されています。 NTAuth ストアに、ドメイン コントローラ証明書の発行証明機関 (CA) の CA 証明書が含まれていない場合、この証明書を NTAuth ストアに追加するか、発行 CA から DC 証明書を入手して NTAuth ストアに保存する必要があります。

      ドメイン コントローラまたはスマート カード ワークステーションが、ドメイン コントローラの証明書チェーンのルート CA を信頼していない場合、このルート CA を信頼するように、これらのコンピュータを構成する必要があります。
    • スマート カードに、信頼されていない証明書が設定されています。 NTAuth ストアに、スマート カード証明書の発行 CA の CA 証明書が含まれていない場合、この証明書を NTAuth ストアに追加するか、発行 CA からスマート カード証明書を入手して NTAuth ストアに保存する必要があります。

      ドメイン コントローラまたはスマート カード ワークステーションが、ユーザーのスマート カード証明書チェーンのルート CA を信頼していない場合、このルート CA を信頼するように、これらのコンピュータを構成する必要があります。
    • スマート カードの証明書が、ワークステーション上のユーザーのストアにインストールされていません。 スマート カードに格納される証明書は、スマート カード ワークステーション上の、そのスマート カードを使用してログオンするユーザーのプロファイルに設定する必要があります。

      : 秘密キーをワークステーション上のユーザーのプロファイルに保存する必要はありません。秘密キーは、スマート カードにのみ保存する必要があります。
    • 適切なスマート カード証明書または秘密キーがスマート カードにインストールされていません。 有効なスマート カード証明書は、秘密キーと共にスマート カードにインストールする必要があり、さらに、スマート カード ワークステーションのスマート カード ユーザーのプロファイルに保存されている証明書と一致する必要があります。
    • スマート カードの証明書を、スマート カード リーダーから取得できません。 この問題は、スマート カード リーダー ハードウェアまたはスマート カード リーダーのドライバ ソフトウェアで発生する場合があります。スマート カード リーダー ベンダのソフトウェアを使用して、スマート カードの証明書および秘密キーを表示できることを確認します。
    • スマート カードの証明書の有効期限が切れています。
    • スマート カードの証明書の SubjAltName 拡張でユーザー プリンシパル名 (UPN) を利用できません。
    • スマート カード証明書の SubjAltName フィールドの書式が正しくありません。SubjAltName フィールド内の情報が 16 進数/ASCII 生データとして表示される場合、そのテキストの書式は ASN1/UTF-8 ではありません。
    • スマート カードに、別の無効な証明書または不完全な証明書が設定されています。 こうした条件に該当する場合、新たに有効なスマート カード証明書を要求して、スマート カードにインストールするほか、スマート カード ワークステーションのユーザーのプロファイルにもインストールする必要があります。スマート カード証明書は、この資料で示した必要条件を満たす必要があります。こうした必要条件として、SubjAltName フィールドの UPN フィールドの書式を正しく設定することが挙げられます。

      有効なスマート カードの証明書の有効期限が切れた場合、スマート カードの証明書を更新することもできますが、この更新プロセスは、新しいスマート カードの証明書を要求するプロセスに比べて、一般的に複雑であり、困難な作業を伴います。
    • ユーザーの Active Directory ユーザー アカウントに UPN が定義されていません。 Active Directory のユーザー アカウントは、スマート カード ユーザーの Active Directory ユーザー アカウントの userPrincipalName プロパティに有効な UPN を保持する必要があります。
    • 証明書の UPN が、ユーザーの Active Directory ユーザー アカウントに定義されている UPN と一致しません。 SubjAltName フィールドの UPN 値がスマート カード ユーザーの Active Directory ユーザー アカウントの UPN と一致するように、スマートカード ユーザーの Active Directory ユーザー アカウントの UPN を修正するか、スマートカードの証明書を再発行する必要があります。サードパーティの CA 場合、スマート カード UPN を userPrincipalName ユーザー アカウント属性に一致させることをお勧めします。ただし、証明書の UPN がアカウントの "暗黙の UPN" (形式 samAccountName@domain_FQDN) である場合、UPN は userPrincipalName プロパティに明示的に一致する必要はありません。

失効チェックに関する問題

ドメイン コントローラがスマート カードのログオン証明書を確認するときに失効チェックに失敗した場合、ドメイン コントローラはログオンを拒否します。ドメイン コントローラは、前述したエラー メッセージや次のエラー メッセージを表示することがあります。
ログオンできませんでした。認証に使用されたスマート カード証明書は信頼されていません。
: 証明書失効リスト (CRL) の検索とダウンロードに失敗した場合のほか、CRL が無効である、証明書が失効している、および失効状態が "不明" の場合はすべて、失効の問題が発生していると考えられます。

失効チェックは、クライアントとドメイン コントローラの両方で成功する必要があります。次の条件に合致していることを確認します。
  • 失効チェックがオンになっている。

    組み込みの失効プロバイダでは、失効チェックをオフにすることはできません。カスタムのインストール可能失効プロバイダがインストールされている場合、そのプロバイダをオンにする必要があります。
  • 証明書チェーンのルート CA を除くすべての CA 証明書に、有効な CDP 拡張が含まれている。
  • 証明書失効リスト (CRL) に [次の更新予定] フィールドが含まれており、CRL が最新の状態にある。Internet Explorer から CRL をダウンロードすることにより、CRL が CDP でオンライン状態にあり、有効であることを確認できます。スマート カード ワークステーションおよびドメイン コントロールの両方から、Internet Explorer を使用して HTTP (HyperText Transport Protocol) または FTP (File Transfer Protocol) CDP で CRL のダウンロードおよび表示を実行できる必要があります。
組織内の証明書によって使用される一意の HTTP および FTP CDP がオンライン状態にあり、利用可能であることを確認します。

CRL がオンライン状態にあり、FTP または HTTP CDP から利用可能であることを確認するには、以下の手順を実行します。
  1. 対象となる証明書を開くには、.cer ファイルをダブルクリックするか、ストア内の証明書をダブルクリックします。
  2. [詳細設定] タブをクリックし、[CRL 配布ポイント] フィールドまでスクロールし、このフィールドをクリックします。
  3. 一番下のウィンドウに表示される FTP または HTTP URL (Uniform Resource Locator) を選択し、コピーします。
  4. Internet Explorer を開いて、アドレス バーに URL を貼り付けます。
  5. 確認を求めるメッセージが表示されたら、CRL を開くオプションを選択します。
  6. CRL に [次の更新予定] フィールドが存在し、[次の更新予定] フィールド内の時刻が、既に経過した時刻でないことを確認します。
LDAP (Lightweight Directory Access Protocol) CDP をダウンロードして、LDAP CDP が有効であることを確認するには、CRL のダウンロードを実行するスクリプトまたはアプリケーションを記述する必要があります。CRL をダウンロードして開いた後、CRL に [次の更新予定] フィールドが存在し、[次の更新予定] フィールドに設定されている時刻が、既に経過した時刻でないことを確認します。

サポート

Microsoft Product Support Services は、以下の項目の中に 1 つでも問題に関与する要因があると判断した場合、サードパーティ CA のスマート カード ログオン処理のサポートを行いません。
  • 不適切な証明書の形式
  • サードパーティ CA から証明書の状態または失効状態を利用できない
  • サードパーティ CA から発行されている証明書の登録についての問題
  • サードパーティ CA を Active Directory に公開できない
  • サードパーティの CSP

その他の情報

クライアント コンピュータは、ドメイン コントローラの証明書を確認します。このため、ローカル コンピュータはドメイン コントローラの証明書の CRL を CRL キャッシュにダウンロードします。

オフライン ログオン処理は証明書を必要としません。キャッシュされた資格情報のみを必要とします。

次のグループ ポリシーの伝達を待つのではなく、ローカル コンピュータで NTAuth ストアにすぐにデータが設定されるように強制するには、次のコマンドを実行してグループ ポリシーの更新を開始します。
dsstore.exe -pulse

Certutil.exe -scinfo コマンドを使用して、Windows Server 2003 および Windows XP でスマート カード情報をダンプすることもできます。

プロパティ

文書番号: 281245 - 最終更新日: 2007年10月12日 - リビジョン: 5.1
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional
キーワード:?
kbinfo kbtool kbenv KB281245
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com