Presented by DMZ. (非武装エリア)
最終更新日: 2020年2月7日
(This site is not official.)
最終更新日: 2020年2月7日
(This site is not official.)
電子証明書のインストール
WebサーバでSSLを使った暗号通信を行うには、サーバーで電子証明書を取得しなくてはなりません。 電子証明書を取得する正規の方法は、”CyberTrust” や ”DigiCert” といった認証局(CA)といわれる第三者機関に依頼して取得します。
しかし、CAに依頼した場合の電子証明書は有償なのでテストや社内システムで利用するだけなら、自分自身でCAを立ててそれを使った電子証明書を利用するケースもあるでしょう。(所謂、”オレオレ証明書”)
このような証明書を使った場合には、正規のCAによって作られた証明書でないため、この証明書での暗号化の際に警告が相手に表示される場合があります。
自社システムの場合、ADを使ってこの証明書を”ルート証明機関”へ登録しておくことで、警告画面を出さなくさせる事が可能です。
- グループポリシーエディタを開きレジストリ変更に使うポリシーオブジェクトを選択(または新規作成)して編集を実行します。
- [コンピューターの構成] - [ポリシー] - [Winodwsの設定] - [セキュリティの設定] - [公開キーのポリシー] - [信頼されたルート証明機関] を右クリックして、[インポート]を実行します。
- インポートウイザードが表示されるのでそのまま [次へ] を選択
- インポートする電子証明書(*.crt)を選択して [次へ] をクリックします。
このとき、指定した電子証明書は、このポリシーが適用されるPCは指定された場所から電子証明書をダウンロードするので、証明書のおかれる場所はすべてのPCが読める場所でなくてはいけません。 確実なのは、ADサーバのSYSVOL領域内に適当な名前のフォルダ(例:”cert”)を作成して、そこに置くのが確実です。
- 証明書ストアの場所を確認してくるので、「信頼されたルート証明機関」を選び [次へ] をクリック
最後に [完了] をクリックして電子証明書をルート証明機関へインポートします。
以上によって、このポリシーが適用されるPCの”信頼された証明機関”には電子証明書登録され、この証明書を使った暗号では警告画面が表示されなくなります。