今日理解したことをメモ。

• スマートカードでログオンするためには以下の証明書が必要。
• ドメインコントローラーにドメインコントローラー証明書
• Configurationパーティション内のNTAuthにルート証明書
• クライアントの”信頼されたルート証明機関”にルート証明書
• クライアント側のスマートカード内にスマートカード証明書

ドメインコントローラー証明書

• ドメインコントローラー証明書はドメインコントローラーが自動登録の機能(AutoEnrollment)を使って自動的に取得しようとする。
• Enterprise CAがActive Directory内にあれば自動的に取得される。
• Windows Server 2003 SP1以降ではDCOMのセキュリティ設定の変更により、失敗することがある。
• その場合にはCERTSVC_DCOM_ACCESSグループにDomain Controllersグループを入れればよい。
• ただし、CERTSVC_DCOM_ACCESSグループ自体が存在しないことがある。その場合には「certutil –setreg SetupStatus –SETUP_DCOM_SECURITY_UPDATED_FLAG」を実行したうえでcertsvcを再起動し、DCOMセキュリティ設定を更新すればよい。
• Windows Server 2003 Service Pack 1 のインストール後の DCOM セキュリティ設定の変更について

ルート証明書

• EnterpriseCAを構築すればNTAuthへの登録は自動的になされる
• サードパーティーのCAを使用するためにはNTAuthへ手動で登録しなくてはいけない。
• [HOW TO] サードパーティの証明書を NTAuth ストアにインポートする方法
• 信頼されたルート証明機関へのルート証明書の登録は通常通りに行えばいい。
• EnterpriseCAの場合には自動的に登録される

スマートカード証明書

• 管理者が他人のスマートカード証明書を取得するためには登録エージェント証明書が必要なので、事前に取得する。
• IISのCertSrvから「スマート カードの証明書登録ステーションを使用して、ほかのユーザー用のスマートカードの証明書を要求する。」が行える。
• IISのCertSrvが表示されない場合には、Active Server Pagesの有効化が必要。

参考URL

スマートカード認証をするときには以下のあたりのURLが参考になる

• スマート カードを管理する
• サードパーティの CA を用いてスマート カード ログオンを有効にするガイドライン