¶ Active Directory Certificate Services(AD CS)
¶ 📌 1. 概要
Active Directory Certificate Services(AD CS)は、Windows Server における証明書発行基盤(PKI)を提供する役割である。
AD DS が「ユーザーや端末の認証」を担うのに対し、AD CS は「通信およびサーバーの信頼」を担う。
本環境では、内部通信の暗号化および信頼の統一を目的として AD CS を構築する。
¶ 🎯 2. 構築目的
本環境における AD CS の目的は以下の通りである。
- 🔐 LDAP 通信の暗号化(LDAPS)
- 🖥 RDP 接続時の証明書警告の排除
- 🌐 内部 Web サービスの TLS 化
- 🛡 ドメイン内の信頼を一元管理
自己署名証明書を排除し、ドメイン全体で統一された信頼モデルを構築する。
¶ 🏢 3. 採用理由
本環境では、外部認証局や自己署名証明書に依存せず、ドメイン内部で完結する信頼基盤を構築するため AD CS を採用する。
¶ ✔ ① AD 統合による一元管理
Enterprise CA として構築することで、ADユーザー/コンピューター単位で発行制御が可能となり、GPOによる自動登録(Auto Enrollment)および信頼済みルート証明書の自動配布が可能となる。これにより運用負荷を抑えつつ統制が可能となる。
¶ ✔ ② LDAPS 実装の前提
LDAP(TCP 389)は暗号化されない。AD CS を構築することでドメインコントローラーへ適切な証明書を発行し、LDAPS(TCP 636)を安全に有効化できる。
¶ ✔ ③ RDP証明書の統一
自己署名証明書では警告表示が発生する。AD CS により発行した証明書を使用することで、ドメイン内で信頼された接続を実現する。
¶ ✔ ④ 実務環境との整合性
企業インフラでは内部PKI構築が一般的である。本環境も同様の思想で設計することで、実務レベルの設計理解を目的とする。
¶ 🔐 4. 公開鍵暗号の基礎
AD CS は公開鍵暗号方式を前提として動作する。
公開鍵暗号では鍵は2つで1組となり、公開鍵(Public Key)と秘密鍵(Private Key)で構成される。
公開鍵で暗号化されたデータは対応する秘密鍵でのみ復号でき、秘密鍵で署名されたデータは公開鍵で正当性を検証できる。
¶ 🧠 公開鍵の比喩
¶ 🏠 ポストの例
- 公開鍵 → 誰でも投函できるポスト
- 秘密鍵 → 家主だけが持つポストの鍵
誰でもメッセージを入れられるが、中身を読めるのは秘密鍵を持つ本人のみである。
¶ 🪪 身分証の例
証明書は「自作の名刺」ではない。名刺は自己申告であり信用は保証されないが、運転免許証は公的機関が保証するため信用が成立する。
CAはその公的機関の役割を担う。
¶ 🧩 5. 用語整理
¶ 🔹 PKI(Public Key Infrastructure)
公開鍵暗号を利用し、証明書の発行・管理・失効までを含めた信頼基盤の仕組み全体。
🧠 例えるなら 国家の身分証制度全体。
¶ 🔹 CA(Certificate Authority)
証明書を発行し、電子署名により正当性を保証する機関。
🧠 例えるなら 公安委員会や市役所。
¶ 🔹 ルートCA
信頼の起点となる認証局。
🧠 例えるなら 国家そのものの信用。
¶ 🔹 証明書チェーン
信頼されたルートCAまで到達できる構造。
🧠 例えるなら 紹介状の連鎖。
¶ 🔹 CRL
失効した証明書の一覧。
🧠 例えるなら 免許取消者一覧。
¶ 🔹 証明書テンプレート
証明書の用途・発行対象・鍵長・有効期限などを定義する設定。
🧠 例えるなら 申請書の種類。
¶ 🏛 6. 本環境の構成方針
¶ 🔁 CA種別
Enterprise CA(AD統合型)を採用する。
¶ 🔐 LDAPS採用
LDAP通信をTLSで保護する。
¶ 🖥 RDP証明書管理
自己署名証明書を排除する。
¶ 🏷 Auto Enrollment
証明書を自動取得・自動更新する。
¶ ⚠ 7. リスク・注意点
- ❌ 単一CA停止時は新規証明書発行不可
- ❌ 証明書期限切れによる通信停止
- ❌ 秘密鍵漏洩時は即時失効対応が必要
¶ 🎯 8. 位置付け
AD DS が「認証の基盤」であるのに対し、AD CS は「信頼の基盤」である。
両者が連携することで Identity(認証)、Encryption(暗号化)、Trust(信頼)が成立する。
AD CS はドメイン基盤を完成させるための重要な構成要素である。