Enterprise NTAuth ストアにサード パーティ証明機関 (CA) 証明書をインポートする方法

サード パーティ CA の証明書を Enterprise NTAuth ストアにインポートするには、2 つの方法があります。 このプロセスは、サード パーティの CA を使用してスマート カード ログオン証明書またはドメイン コントローラー証明書を発行する場合に必要です。 管理者は、CA 証明書を Enterprise NTAuth ストアに発行することで、これらの種類の証明書を発行するために CA が信頼されていることを示します。 Windows CA は、CA 証明書をこのストアに自動的に発行します。

適用対象: Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 295663

詳細

NTAuth ストアは、フォレストの構成コンテナーにある Active Directory ディレクトリ サービス オブジェクトです。 ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 識別名は、次の例のようになります。

CN=NTAuthCertificates,CN=公開キー サービス,CN=Services,CN=Configuration,DC=MyDomain,DC=com

NTAuth ストアに発行された証明書は、cACertificate の複数値属性に書き込まれます。 この属性に証明書を追加するには、2 つの方法がサポートされています。

方法 1 - PKI 正常性ツールを使用して証明書をインポートする

PKI 正常性ツール (PKIView) は MMC スナップイン コンポーネントです。 PKI を構成する 1 つ以上の Microsoft Windows CA の状態が表示されます。 Windows Server 2003 リソース キット ツールの一部として使用できます。

PKIView は、エンタープライズ内の各 CA から CA 証明書および証明書失効リスト (CRL) に関する情報を収集します。 次に、証明書と CRL を検証して、正しく動作していることを確認します。 正しく動作していない場合、または失敗しようとしている場合は、PKIView に詳細な警告またはエラー情報が表示されます。

PKIView には、Active Directory フォレストにインストールされている Windows Server 2003 CA の状態が表示されます。 PKIView を使用すると、エンタープライズ CA に関連付けられている下位 CA とルート CA を含むすべての PKI コンポーネントを検出できます。 また、ルート CA 信頼や NTAuth ストアなど、Active Directory フォレストの構成パーティションにも含まれる重要な PKI コンテナーを管理することもできます。 この記事では、この後者の機能について説明します。 PKIView の詳細については、Microsoft Windows Server 2003 Resource Kit Tools のドキュメントを参照してください。

エンタープライズ NTAuth ストアに CA 証明書をインポートするには、次の手順に従います。

1. CA の証明書を.cer ファイルにエクスポートします。 次のファイル形式がサポートされています。

   • DER でエンコードされたバイナリ X.509 (.cer)
   • Base-64 でエンコードされた X.509 (.cer)

2. Windows Server 2003 Resource Kit Tools をインストールします。 ツール パッケージには、Windows XP 以降が必要です。

3. Microsoft 管理コンソール (Mmc.exe) を起動し、PKI 正常性スナップインを追加します。

   1. [コンソール] メニューの [ スナップインの追加と削除] を選択します。
   2. [ スタンドアロン ] タブを選択し、[ 追加 ] ボタンを選択します。
   3. スナップインの一覧で、[ エンタープライズ PKI] を選択します。
   4. [ 追加] を選択し、[ 閉じる] を選択します。
   5. [OK] を選択します。

4. [エンタープライズ PKI] を右クリックし、[AD コンテナーの管理] を選択します。

5. [ NTAuthCertificates ] タブを選択し、[ 追加] を選択します。

6. [ファイル] メニューの [開く] を選択します。

7. CA 証明書を見つけて選択し、[ OK] を 選択してインポートを完了します。

方法 2 - Certutil.exe を使用して証明書をインポートする

Certutil.exe は、Windows CA を管理するためのコマンド ライン ユーティリティです。 Windows Server 2003 では、Certutil.exe を使用して Active Directory に証明書を発行できます。 Certutil.exe は Windows Server 2003 と共にインストールされます。 Microsoft Windows Server 2003 管理ツール パックの一部としても使用できます。

エンタープライズ NTAuth ストアに CA 証明書をインポートするには、次の手順に従います。

1. CA の証明書を.cer ファイルにエクスポートします。 次のファイル形式がサポートされています。

   • DER でエンコードされたバイナリ X.509 (.cer)
   • Base-64 でエンコードされた X.509 (.cer)

2. コマンド プロンプトで、次のコマンドを入力し、Enter キーを押します。

   certutil -dspublish -f filename NTAuthCA
   

NTAuth ストアの内容は、次のレジストリの場所にキャッシュされます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates\NTAuth\Certificates

このレジストリ キーは、Active Directory 構成コンテナー内の NTAuth ストアに発行された証明書を反映するように自動的に更新する必要があります。 この動作は、グループ ポリシー設定が更新され、自動登録を担当するクライアント側拡張機能が実行されるときに発生します。 Active Directory レプリケーションの待機時間や、[証明書を自動的に登録しない] ポリシー設定が有効になっている場合など、特定のシナリオでは、レジストリは更新されません。 このようなシナリオでは、次のコマンドを手動で実行して、レジストリの場所に証明書を挿入します。

certutil -enterprise -addstore NTAuth CA_CertFilename.cer