スマートカードログオン証明書テンプレートの作成

スマートカードログオン証明書テンプレートを作成するには、以下の手順を実行します。

1. 認証局サーバーの管理ツールから認証局管理コンソール（MMC）を起動します。
2. CA を展開し、[証明書テンプレート] フォルダーを右クリックし、 [管理] を選択します。
3. ”スマートカードログオン”証明書テンプレートを右クリックして [複製] を選択します。
4. 新しいテンプレートプロパティが [全般] タブに表示されます。テキストボックスにテンプレート名を入力します。スペースのない実際の名前が 2 番目のテキストボックスに自動的に表示されます。その名前を覚えてください。後で SAML 機能を構成するときにその名前が必要になります。このタブのオプションを以下のように構成してください。
   • テンプレート表示名: PrlsSmartcardLogon
   • テンプレート名: PrlsSmartcardLogon
   • 有効期間: 1 年以内
   • 更新期間: 6 週間
   • Active Directory の証明書を発行する: OFF
   • Active Directory に重複する証明書がある場合、自動的に再登録しない: OFF

     注: 表示名はどんな名前でも構いませんが、テンプレート名は上記の名前にする必要があります。

   

5. [暗号化] タブを選択して、以下の値を設定します。
   • プロバイダーのカテゴリ: レガシ暗号化サービスプロバイダー（読み取り専用）
   • アルゴリズム名: CSP によって設定
   • 最小キーサイズ: 2048

   [要求で使用できる暗号化サービスプロバイダーを選択してください] セクションで [以下のプロバイダーのうちいずれか 1 つ] を選択します。以下のプロバイダーリストに含まれている [Microsoft Strong Cryptographic Provider] 以外のすべてのオプションをクリアし、そのプロバイダーを優先プロバイダーとして設定します。

   [X] Microsoft Strong Cryptographic Provider

   [ ] Microsoft Enhanced Cryptographic Provider v 1.0

   [ ] Microsoft Base Cryptographic Provider v 1.0

   [ ] Microsoft Enhanced RSA and AES Cryptographic Provider

   

6. [発行の要件] タブを選択して、以下の値を設定します。
   • CA 証明書マネージャーの許可: OFF
   • 次の数の認証署名: 1
   • 署名に必要なポリシーの種類: アプリケーションポリシー
   • アプリケーションポリシー: 証明書の要求エージェント
   • 登録と同じ要件: ON

   

7. [セキュリティ] タブを選択して、以下の手順を実行します。
   • [追加] をクリックします。
   • 登録エージェントユーザーアカウントを追加します。
   • ”読み取り”と”登録”のアクセス許可を選択します。 [適用] をクリックし、 [OK] をクリックします。

   

証明書テンプレートの発行

作成した証明書テンプレートを発行するには、以下のようにします。

1. 認証局を再び実行し、 [証明書テンプレート] を右クリックして [発行する証明書テンプレート] をクリックします。
2. 前の手順で作成した証明書テンプレート（Prls Smarcard Logon）を選択して、 [OK] をクリックします。
3. その証明書テンプレートが [証明書テンプレート] リストに表示されます。

注: スマートカードログオンテンプレートと登録エージェントテンプレート（前述）を作成したら、Windows で [Active Directory 証明書サービス] サービスを再起動する必要があります。