Active Directory Certificate Services

暗号化やディジタルシグネチャといった機能を利用するさいに必要になるのが証明書。一般公開するような証明書が必要な場合には信頼されている認証局によって発行された証明書が必要になるけど、例えば、社内だけで流通させたい文書を暗号化させたいといった用途にはオレオレ証明書のようなものでも結構役に立つ。

Microsoft の提供するサーバーコンポーネントには IIS (Internet Information Services) を利用した Web アプリケーションを配置するものが多い。セキュリティの面を考慮すると HTTPS を利用するようになり、そのたびに証明書が必要になってくる。

Active Directory Certificate Services 自身も証明書の発行のための Web サイトを公開するのだけど、最初にアクセスするときは証明書がないために「信頼されてない」と警告が出てくるのはご愛嬌なのかな？その後、証明書を配置することでそんなメッセージはでなくなるけど、なんとなくモヤモヤ感があった。

IIS には証明書の要求の作成を支援してくれる機能があるのだけど、SAN (Sabject Alternative Names) を指定したいときはちょっと手順が必要。一応 https://support.microsoft.com/ja-jp/kb/931351 が日本語のオリジナルだと思うのだけど、「Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています」なんてコメントが表示されてしまう。KB の文書は残っているみたい。

PowerShell のスクリプトをファイルサーバー上の共有フォルダにおいたまま実行するような場合、スクリプトにコード署名を挿入することができる。こうしておくことで PowerShell のセキュリティ要件を弱めず（ローカルで作成したスクリプト以外は実行できない）にスクリプトの利便性を高めることもできる。

AD CS は一度立ててしまうと無傷のまま解体はできないらしい。セットアップは DHCP 同様すぐに終わるのだけど、試しに作るにしても慎重に。