自己発行証明書テンプレートの作成
Note
コンソールルート > 証明書テンプレート(DC_NAME)の DC_NAME がルートドメインコントローラー等、Replicate 元のドメインコントローラーであることを確認してください。別のドメインコントローラーが選択されている場合は、証明書テンプレートを右クリックし 「別の書き込み可能ドメインコントローラーに接続」 からルートドメインコントローラーに接続してください。
- 証明書テンプレートの中にあるスマートカードログオンを右クリックし、テンプレートの複製を選びます。
- 全般タブを開き、テンプレート表示名・テンプレート名をYubiKeyへ変更し、「Active Directoryの証明書を発行する」にチェックを入れます。
- 互換性タブを開き、証明書機関・証明書の受信者を選びます。 ※ドメイン環境で最も古いオペレーティングシステムを選択します。
-
要求処理タブを開き、用途は署名と暗号化を選びます。
-
「サブジェクトが許可した対称アルゴリズムを含める」 「同じキーで書き換え」
-
「スマートカード証明書の自動書き換えで、新しいキーを作成できない場合は既存のキーを使用する」
-
「登録中にユーザーにメッセージを表示する」 にチェックをします。
-
- 暗号化タブを開き、プロバイダーのカテゴリは「キー格納プロバイダー」を選びます。
- アルゴリズム名は「RSA」を選びます。
- 「最小キーサイズ」を2048に変更します。
- 「以下のプロバイダーのうちいずれか1つ」を選択し、「Microsoft Smart Card Key Storage Provider」にチェックを入れます。
- ハッシュの要求は 「SHA256」 を選択します。
- セキュリティタブを開き、「Authenticated Users」 を選択し 「読み取り」 と 「登録」 の許可にチェックを入れます。
※後述の証明書の更新を行う場合は、自動登録にもチェックを入れます。
- 「OK」で一般ユーザー用テンプレートの作成を完了します。