社内でCA局構築したが・・・

よろしくお願いします。
社内でCA局(RHL8.0+OpenSSL)を構築しました。
社内のクライアントは、WindowsXPで、ActiveDirectoryで移動プロファイルを利用しています。

ローカルのAdministratorでCA局の証明書をルート証明機関へインポートしました。
他のユーザでマシンへログインしたところ、
CAの証明書がルート証明機関へ入っていませんでした。

CAの証明書は各ユーザが行わなければいけないもの
なのでしょうか？

どのように行えば、インポートを行ったユーザ以外でも、
証明書を利用できるでしょうか？
ご教示よろしくお願いします。

No.2 ベストアンサー 回答者： goo-tara 回答日時： 2004/03/24 03:45

えっと、順番が逆ですが５番から説明します。

５の実施手順
　・IEを起動
　・ツール⇒インターネットオプション⇒コンテンツ⇒証明書⇒信頼されたルート証明期間⇒インポート⇒DERエンコードした証明書ファイルを指定
　・証明書の目的を設定
　って、手順で証明書DBに登録されて全ユーザで使用可能になった
　と記憶しています。
　IEのバージョンが上がったためか、移動プロファイルを使用されて
　いることで動作が違うのかもしれません。

４の実施手順
　・ドメインサーバで５を実施
　・グループポリシーで証明書の配布を選択
　・配布する証明書として、５で取り込んだ証明書を指定

以上、ご参考まで

※おまけ※
話は変わりますが、ルート証明書の期限は運用面も考慮の上での
設定をお勧めします。
～昔はルート証明書の期限も結構短かったのに、久しぶりに見て
　みたら、全体に結構長くなってるわ、verisignの証明書がclass1-4で
　２セットずつ入ってるわ、吃驚しました。
　昔は社内で発行した証明書が一番ロングライフだったのに・・・（何故か悔しい）。

この回答へのお礼

ドメインコントローラセキュリティポリシー設定で
証明書を配布することができました。

有難うございました。

お礼日時：2004/03/24 17:16

No.1 回答者： goo-tara 回答日時： 2004/03/21 20:12

IEに元々入っていないroot証明書は個別に入れないとどーにもなりません。

できないなら、証明書を使うことをあきらめる事をお奨めします。

証明書を使うためには、以下の方法があります。
御社の会社の規模や、投資できる費用に応じて選択してください。

１．MSにお金を払って、IEに作成したCA局のroot証明書を入れて貰う。

２．IEにroot証明書が入っている認証局に証明書を発行して貰う。

３．IEAKでroot証明書を入れたイメージのインストーラを作成し、IEの再インストールを実施させる。

４．ドメインポリシーでドメインに参加している端末にroot証明書を流し込む。

５．セキュリティ管理者がroot証明書を1台1台インストールして回る。

避けたい方法．各ユーザにroot証明書をインストールさせる。（セキュリティを上げたいのか落としたいのか、目指す方向が不明確になるため。）

某電機メーカーの元セキュリティ基盤設計者

この回答への補足

ご回答ありがとう御座います。
４番、５番について、詳細を教えていただけると幸いです。
なお、ローカルマシンのAdministratorはもちろん、
ドメインのDomain Admins権限を持っていますので
ポリシーの書き換えは可能です。

よろしくお願いします。

補足日時：2004/03/22 01:16