証明書信頼リストは、以下の手順で作成して展開できます。ここしかし、通常の方法でグループ ポリシーを使用してルート証明書と中間証明書を展開するよりも、この方法の利点を理解しようとしています。なぜこれを行う必要があるのでしょうか?
答え1
エンタープライズ証明書信頼リスト (CTL) を使用すると、どの種類の証明書をどのような目的で信頼できるかをより細かく制御できます。グループ ポリシーを使用して証明書を配布するだけでは、クライアントで証明書が信頼される方法や状況を正確に制御することはできません。
証明書信頼リスト (CTL) を使用すると、外部の証明機関 (CA) によって発行された証明書の目的と有効期間の信頼を制御できます。
通常、証明機関は、セキュリティ保護された電子メールやクライアント認証など、さまざまな目的で証明書を発行できます。ただし、特に CA が組織外にある場合、特定の証明機関によって発行された証明書の信頼を制限する必要がある場合があります。このような状況では、CTL を作成し、グループ ポリシーを通じて使用すると便利です。
たとえば、「My CA」という証明機関が、サーバー認証、クライアント認証、コード署名、およびセキュリティで保護された電子メールの証明書を発行できるとします。ただし、クライアント認証の目的で My CA によって発行された証明書のみを信頼するとします。CTL を作成し、My CA によって発行された証明書を信頼する目的を制限して、証明書がクライアント認証にのみ有効になるようにすることができます。My CA によって別の目的で発行された証明書は、CTL が適用されているグループ ポリシー オブジェクト (GPO) の範囲内のどのコンピューターまたはユーザーでも使用できません。
組織内には複数の CTL が存在する場合があります。特定のドメインまたは組織単位の証明書の使用法と信頼は異なる場合があるため、これらの使用法を反映した個別の CTL を作成し、特定の CTL を特定の GPO に割り当てることができます。
組織でグループ ポリシーを使用すると、信頼されたルート証明機関ポリシーまたはエンタープライズ信頼ポリシー (CTL) のいずれかを使用して CA の信頼を指定することができます。使用するポリシーを決定するには、次のガイドラインに従ってください。 • 組織に独自のルート CA があり、Active Directory を使用している場合は、グループ ポリシー メカニズムを使用してそれらのルート証明書を配布する必要はありません。
• 組織にサーバーにインストールされていない独自のルート CA がある場合は、信頼されたルート証明機関ポリシーを使用して組織のルート証明書を配布する必要があります。詳細については、「信頼されたルート証明機関ポリシー」を参照してください。
• 組織に独自の CA がない場合は、エンタープライズ信頼ポリシーを使用して CTL を作成し、組織の外部ルート CA に対する信頼を確立します。詳細については、「エンタープライズ信頼ポリシーの使用」を参照してください。