ActiveDirectoryを使えば、RADIUSサーバ(NPS)の証明書も自動配布ができる。
ユーザ証明書の自動配布と、基本的な設定手順は同じである。

必要な作業は主に2つ。
1. RADIUSサーバ用の証明書テンプレートを作成する
  (→自動登録の要求があったときに、どのように発行するかのポリシー)
2.グループポリシーオブジェクト(GTO)で、「証明書サービスクライアントの自動登録」を設定する
  (→サーバに、証明書の自動登録を促すための設定)
である。

証明書テンプレートの作成から説明する。

管理ツールから、「証明機関」を起動し、「証明書テンプレート」を右クリック、「管理」を選択する。
007



















テンプレートから「RASおよびIASサーバー」を探し、右クリック「テンプレートの複製」を選択。
008











プロパティが表示されるので、「全般」タブで名前を決める。ここでは「RADIUSサーバ自動発行」とする。
「ActiveDirectoryの証明書を発行する」にチェックを入れる。
009

































「セキュリティ」タブで、「RAS and IAS Servers」を選択し、「読み取り」「自動登録」をチェックする。
NPSサーバは自動的に「RAS and IAS Servers」グループに登録されるため、この設定によってNPSサーバ(RADIUSサーバ)が証明書を自動登録できるようになる。設定したら「OK」を押す。
010

































証明書テンプレートに、先ほど追加したテンプレートが表示されていることを確認して、閉じる。
011












「証明機関」ツールの「証明書テンプレート」を右クリックし、「新規作成」→「発行する証明書テンプレート」を選択する。
012














作成した証明書テンプレートを選択し、「OK」
013

















証明書テンプレートに追加されたことを確認する。「証明機関」ツールの作業はこれで完了。
014



















次は、グループポリシーの設定である。
「管理ツール」から「グループ ポリシーの管理」を起動する。
今回はドメイン全体に適用させるので、ドメイン名を右クリックして「このドメインにGPOを作成し、このコンテナーにリンクする」を選択する。
(もちろん、RADIUSサーバ用のOUを作成し、そこに適用してもよい。)
001

















GPO名を設定する。ここでは、「コンピュータ証明書の自動配布」とする。
002











作成したポリシーを右クリックし、「編集」を選択。
003


















「コンピュータの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「公開キーのポリシー」から「証明書サービスクライアント-自動登録」を右クリック、「プロパティ」を選択。
004

















「構成モデル」を「未構成」から「有効」に変更する。「有効期限が切れた証明書を書き換え、保留中の証明書を更新、および失効した証明書を削除する」と「証明書テンプレートを使用する証明書を更新する」にチェックし、「OK」。
006






























これでGPOの設定が完了である。コマンドラインから「gpupdate」を実行し、グループポリシーををADに即時反映させる。


この設定が終われば、RADIUSサーバ(NPS)は自動的に証明書を取得する。
取得した証明書の確認方法は次のとおり。

(1)「証明機関」管理ツールの「発行した証明書」で確認する。
(2)RADIUSサーバのMMCで確認する。

mmc.exeを起動する。(デスクトップの検索メニューで「mmc」アプリを検索すると出てくる)
「ファイル」から「スナップインの追加と削除」を選択。
021














「利用できるスナップイン」から「証明書」を追加する。
022


















このスナップインで管理する証明書で「コンピュータアカウント」を選択。
023



















管理するコンピュータは「このコンピューター」を選択。
024



















コンソールルートに、「証明書(ローカルコンピュータ)」が表示されるので、「個人」→「証明書」を手繰っていくと、RADIUSサーバに発行された証明書を確認できる。
025