3.2.5 公開キーのポリシー
グループポリシーにおける公開キーのポリシーは,[Windowsの設定]−[セキュリティの設定]ノードのなかにある。ここでは,証明機関との信頼関係,コンピュータへの証明書の発行,EFS(Encrypting File System)の利用にかかわるルールを設定できる。
公開鍵による証明書は,公開鍵とその持ち主とを結び付け,その関係を第三者である証明機関(CA)が保証するものである。つまり,渡された公開鍵が本当に通信相手の公開鍵であることを第三者に証明してもらうのである。そのため,証明書には所有者の識別情報,所有者の公開鍵,証明機関の署名が必ず記載されている。しかし,証明書を受け取っても,本当にその証明機関が信頼に足るものであるかどうかはわからない。そのため、その証明機関を信頼してよいことを証明する上位の証明機関が必要となる。そして,このくり返しによって証明機関の階層が形成される。このとき,最上位にある証明機関のことを「ルート証明機関」と呼ぶ。Windows 2000には,デフォルトで複数のルート証明機関の証明書が用意されている。
●自動証明書要求の設定
このポリシーは,[自動証明書要求セットアップウィザード]を使用して設定する。このポリシーを設定すると,グループポリシーオブジェクトに関連付けられたコンピュータがネットワークにログオンしたときに,事前に定義された証明機関に証明書発行要求を自動的に送信し,発行された証明書を格納する。コンピュータに格納された証明書は,公開鍵で暗号化するときに必要な証明書として利用される。発行を要求できる証明書は,コンピュータに関連する証明書である。たとえば,コンピュータ証明書,IPSec証明書,Webサーバー証明書などがある。
Fig.3-4 証明書テンプレート
●エンタープライズの信頼
このポリシーを用いると,証明機関によって発行された証明書が利用目的に従って使用されている場合にのみ,その証明書を信頼するようになる。証明書は,クライアントの認証や電子メールの保護など,特定の目的に限定して発行することができる。そのため,ドメインや組織単位が同じ証明書を保持していたとしても,その用途が異なることもある。このような場合に,使用目的別に信頼する証明書リストを作成し,そのリストを元にアクセスを許可または拒否することができるのである。
このポリシーは,[証明書信頼リストウィザード]を利用して証明書信頼リストを作成し,配布することで設定される。証明書信頼リストとは,システム管理者が使用目的ごとに作成した証明書の一覧であり,ルート証明機関によって発行された署名が添付されている。新しい証明書信頼リストを作成する場合には,(1) 証明機関が発行した証明書,(2) 署名された証明書信頼リスト,(3) 証明書信頼リストに含めるルート証明書,(4) 証明書信頼リストのルート証明書を信頼する目的,という4つの要素が必要になる。
Fig.3-5 証明書信頼リストウィザード(上)と証明書信頼リスト(下)
●信頼されたルート証明機関
このポリシーを利用すると,各コンピュータやユーザーに対して共通の信頼されたルート証明機関を設定することができる。このポリシーを設定するためには,作成したグループポリシーオブジェクトをルート証明書に割り当てる必要がある。そのため,[証明書のインポートウィザード]を使用して,ルート証明機関の証明書のコピーをインポートしなければならない。
Fig.3-6 証明機関の信頼
このポリシーを適用されたコンピュータやユーザーは,インポートしたルート証明機関を信頼するようになる。信頼されたルート証明書には,Personal Information Exchange(PKCS#12ファイル),Cryptographic Message Syntax Standard(PKCS#7ファイル),Microsoftによってシリアル化された証明書ストア(SST)などがある。
Active Directoryドメイン環境にあるWindows 2000にルート証明機関がインポートした場合,ドメイン内のすべてのユーザーとコンピュータはすでにそのルート証明機関を信頼していることになり,このポリシーを設定する必要はない。このポリシーは,外部のルート証明機関との信頼関係を確立するときに利用すると便利である。
Fig.3-7 証明書ファイルのインポート
 |
Chapter 3(前編) 10/22 |  |
