スマートカードログオン証明書テンプレートを作成するには、以下の手順を実行します。
認証局サーバーの管理ツールから認証局管理コンソール(MMC)を起動します。
CA を展開し、[証明書テンプレート] フォルダーを右クリックし、[管理] を選択します。
”スマートカードログオン”証明書テンプレートを右クリックして [複製] を選択します。
新しいテンプレートプロパティが [全般] タブに表示されます。テキストボックスにテンプレート名を入力します。スペースのない実際の名前が 2 番目のテキストボックスに自動的に表示されます。その名前を覚えてください。後で SAML 機能を構成するときにその名前が必要になります。このタブのオプションを以下のように構成してください。
テンプレート表示名: PrlsSmartcardLogon
テンプレート名: PrlsSmartcardLogon
有効期間: 1 年以内
更新期間: 6 週間
Active Directory の証明書を発行する: OFF
Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF
注: 表示名はどんな名前でも構いませんが、テンプレート名は上記の名前にする必要があります。
[暗号化] タブを選択して、以下の値を設定します。
プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー(読み取り専用)
アルゴリズム名: CSP によって設定
最小キーサイズ: 4096 ビットまでの任意の最小キーサイズ
[要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーのリストから、任意のプロバイダーを選択してください。
[発行の要件] タブを選択して、以下の値を設定します。
CA 証明書マネージャーの許可: OFF
次の数の認証署名: 1
署名に必要なポリシーの種類: アプリケーションポリシー
アプリケーションポリシー: 証明書の要求エージェント
登録と同じ要件: ON
[セキュリティ] タブを選択して、以下の手順を実行します。
[追加] をクリックします。
登録エージェントユーザーアカウントを追加します。
”読み取り”と”登録”のアクセス許可を選択します。[適用] をクリックし、[OK] をクリックします。
作成した証明書テンプレートを発行するには、以下のようにします。
認証局を再び実行し、[証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。
前の手順で作成した証明書テンプレート(Prls Smarcard Logon)を選択して、[OK] をクリックします。
その証明書テンプレートが [証明書テンプレート] リストに表示されます。
注: スマートカードログオンテンプレートと登録エージェントテンプレート(前述)を作成したら、Windows で [Active Directory 証明書サービス] サービスを再起動する必要があります。
登録エージェントテンプレートを作成するには、以下の手順を実行します。
認証局サーバーの管理ツールから認証局管理コンソール(MMC)を起動します。
CA を展開し、[証明書テンプレート] フォルダーを右クリックし、[管理] を選択します。
登録エージェントテンプレートを右クリックして [テンプレートの複製] を選択します。新しいテンプレートプロパティウィンドウが表示されます。[全般] タブで以下のプロパティを構成します。
テンプレート表示名: PrlsEnrollmentAgent
テンプレート名: PrlsEnrollmentAgent
有効期間: 2 年以内
更新期間: 6 週間
Active Directory の証明書を発行する: ON
Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF
注: 表示名はどんな名前でも構いませんが、テンプレート名は上記の名前にする必要があります。
[暗号化] タブを選択して、以下の値を設定します。
プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー(読み取り専用)
アルゴリズム名: CSP によって設定
最小キーサイズ: 4096 ビットまでの任意の最小キーサイズ
[要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーのリストから、任意のプロバイダーを選択してください。
[セキュリティ] タブを選択して、以下の手順を実行します。
[追加] をクリックします。
登録エージェントユーザーアカウントを追加します。
”読み取り”と”登録”のアクセス許可を選択します。[適用] をクリックし、[OK] をクリックします。
作成した証明書テンプレートを発行するには、以下のようにします。
認証局を再び実行し、[証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。
前の手順で作成した証明書テンプレート(Prls Enrollment Agent)を選択して、[OK] をクリックします。
その証明書テンプレートが [証明書テンプレート] リストに表示されます。
注: 登録エージェントテンプレートとスマートカードログオンテンプレート(後述)を作成したら、Windows で [Active Directory 証明書サービス] サービスを再起動する必要があります。
のセクションでは、以下の内容を説明します。