証明書登録ポリシー Web サービスを使用すると、コンピューターがドメインのメンバーでない場合や、コンピューターがドメインに参加しているが、セキュリティで保護された企業ネットワークの一時的な外部にある場合でも、ユーザーとコンピューターは証明書登録ポリシー情報を取得できます。 証明書登録ポリシー Web サービスは、証明書登録 Web サービスと連携して、これらのユーザーとコンピューターにポリシーベースの自動証明書登録を提供します。 証明書登録ポリシー Web サービスは、WS-Trust ジャンプに基づく登録プロトコルを使用します。 WS-Trust Jump を使用すると、セキュリティで保護されたソケット レイヤーまたはトランスポート層セキュリティ (SSL/TLS) 暗号化 (HTTPS) 経由でハイパーテキスト転送プロトコル (HTTP) を使用して、証明書ポリシーの取得、証明書の登録、および証明書の更新を行えます。
証明書登録ポリシー Web サービスは、標準のライトウェイト ディレクトリ アクセス プロトコル (LDAP) と Secure LDAP (LDAPS) ポート、TCP 389、TCP 636 を使用して Active Directory Domain Services (AD DS) と通信します。 証明書登録ポリシー Web サービスは、既定でインターネット インフォメーション サービス (IIS) DefaultAppPool (ApplicationPoolIdentity) の資格情報を使用します。 ロールのインストール中にアカウントを構成することはできませんが、インストール後に IIS マネージャーを使用してアカウントを変更することはできます。
この記事では、サーバー マネージャーで証明書登録ポリシー Web サービスを構成するときに使用できる認証の種類について説明します。 この記事では、証明書登録ポリシー Web サービスのインストールにサーバー マネージャーを使用するときに表示される認証オプションについても説明します。
認証の種類
証明書登録ポリシー Web サービスと通信するクライアントは、次のいずれかの認証の種類を使用する必要があります。
Windows 統合認証
クライアント証明書認証
ユーザー名とパスワードの認証
注
キーベースの更新を構成する場合は、ユーザー名とパスワードの認証またはクライアント証明書認証を有効にする必要があります。 証明書登録ポリシー Web サービスは、匿名認証をサポートしていません。
キーベースの更新
キーベースの更新モードでは、既存の有効な証明書を使用して証明書の更新要求を認証できます。 この機能により、内部ネットワークに直接接続されていないコンピューターは、既存の証明書を自動的に更新できます。
注
証明書登録ポリシー Web サービスのキーベースの更新モードを有効にすると、サービスは新しい証明書の要求を受け入れません。 Windows Server には証明書登録ポリシー Web サービスの複数のインスタンスをインストールできますが、 Install-AdcsEnrollmentPolicyWebService PowerShell コマンドレットを使用して新しいインスタンスをインストールして構成する必要があります。
サーバー証明書
証明書登録 Web サービスと証明書登録ポリシー Web サービスは、クライアントとの通信に Secure Sockets Layer (SSL) を使用する必要があります。これは、HTTPS を使用して実現できます。 各サービスには、ローカル コンピューター証明書ストアのサーバー認証の拡張キー使用法 (EKU) ポリシーを持つ有効な証明書が必要です。
注
証明書登録 Web サービスをホストしているサーバーに SSL 証明書をまだ指定していない場合は、「Enterprise CA を使用して ドメイン内の Web サイトで SSL/TLS を構成する」の手順に従います。