ドメインコントローラーにアクセスし、証明機関を開きます。
登録エージェントテンプレートを複製します。詳細な手順は次のとおりです：
1. ［証明書テンプレート］ をクリックして ［管理］ を選択します。
2. 登録エージェントを右クリックし、［テンプレートの複製］ を選択します。
3. ［暗号化］ タブで ［Microsoft Base Smart Card Crypto Provider］ を選択し、［OK］ をクリックします。「登録エージェントのコピー」という名前のテンプレートが ［証明書テンプレート］ 一覧に表示されます。
4. ［サブジェクト名］ タブで、［サブジェクト名に電子メール名を含める］ が選択されていないことを確認します。
スマートカードユーザーテンプレートの権限を確認します。詳細な手順は次のとおりです：
1. ［証明書テンプレート］ をクリックして ［管理］ を選択します。
2. スマートカードユーザーを右クリックして、［プロパティ］ を選択します。
3. ［セキュリティ］ タブの ［ドメイン管理者］ で、以下のように次の権限が選択されていることを確認します：
スマートカードの証明書を発行します。詳細な手順は次のとおりです：
1. ［証明書テンプレート］ を右クリックして、［新規］>［発行する証明書テンプレート］ の順に選択します。
2. 登録エージェントとスマートカードユーザーのコピーを選択します。
3. ［OK］ をクリックします。

手順3：スマートカードユーザーの証明書を登録する

ドメインに参加している物理Windowsマシンで、各スマートカードの証明書を登録するには、次の手順を実行します：

登録に使用するために、ドメインに参加している物理Windowsマシンを準備します：
1. スマートカードドライバーがインストールされていることを確認します。
2. スマートカードをマシンに挿入します。
3. スマートカードに割り当てるユーザーアカウントを使用してマシンにログオンします。
手順1で準備したマシンに証明書スナップインを追加します。詳細な手順は次のとおりです：
1. mmcを開きます。
2. ［ファイル］、［スナップインの追加と削除］ の順にクリックします。
3. 表示される ［スナップインの追加と削除］ ウィンドウで、［証明書］ を選択し、［追加］ をクリックします。
4. 表示されるダイアログボックスで、［ユーザーアカウント］ を選択し、［完了］ をクリックします。
5. ［OK］ をクリックします。
証明書スナップインに新しい証明書を要求します。詳細な手順は次のとおりです：
1. ［証明書 - 現在のユーザー］>［個人］ に移動して、［証明書］ を右クリックし、［すべてのタスク］>［新しい証明書の要求］ を選択します。
  
  !新しい証明書の要求
2. 表示される ［証明書の要求］ ダイアログボックスで、登録エージェントのコピーとスマートカードユーザー を選択します。
3. 上記のダイアログボックスで、スマートカードユーザーの ［詳細］ をクリックし、［プロパティ］ をクリックします。［証明書のプロパティ］ ダイアログボックスが表示されます。
4. ［秘密キー］ タブで、［暗号化サービスプロバイダー］ を展開し、Microsoft Strong Cryptographic Provider（Encrption） をオフにして、Microsoft Base Smart Card Crypto Provider（Encryption） のみを選択し、［OK］ をクリックします。
5. ［登録］ をクリックします。
6. 表示される［Windowsセキュリティ］ ダイアログボックスで、スマートカードのPINコードを入力し、［OK］ をクリックします。登録が完了したら、［完了］ をクリックします。

登録が成功すると、次のスクリーンショットのように、［証明書 - 現在のユーザー］-［個人］->［証明書］ の下に2つの証明書が表示されます。証明書テンプレートの管理

手順4：Web Studio IISサーバーを構成する

各Web Studioサーバーで、次の手順に従って、スマートカード認証用にIISを構成します：

Web Studioマシンのクライアント証明書マッピング認証を有効にします**。

<clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトのインストールでは使用できません。インストールと有効化について詳しくは、Microsoftの記事を参照してください。
Web StudioマシンでIISマネージャーを起動します。
マシンの ［Active Directoryクライアント証明書の認証］ を有効にします。詳細な手順は次のとおりです：
1. 左側のペインでマシンを選択し、［認証］ をダブルクリックします。
2. ［Active Directoryクライアント証明書の認証］ を有効にします。
クライアント証明書認証を使用して、より安全なHTTPSプロトコル用にWeb Studio Backendモジュールを構成します：
1. ［サイト］>［規定のWebサイト］>［Studio］>［バックエンド］>［スマートカード］ に移動して、［IIS］ セクションの ［SSL設定］ をダブルクリックします。
2. ［クライアント証明書］ で ［必要］ を選択します。
3. ［サイト］>［規定のWebサイト］>［Studio］>［バックエンド］>［スマートカード］ に移動して、［IIS］ セクションの ［構成エディター］ をダブルクリックします。
4. /clientCertificateMappingAuthenticationがenabledであることを確認します。
（Windows 2022のみ）TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです：
1. ［サイト］>［既定のWebサイト］ に移動します。
2. ［サイトバインドの編集］ をクリックします。
3. 表示される ［サイトバインド］ ダイアログボックスで、httpsレコードを選択し、［編集］ をクリックします。
4. 表示される ［サイトバインドの編集］ ダイアログボックスで、［Disable TLS 1.3 over TCP］ を選択し、［OK］ をクリックします。

ヒント：

Web Studio Backendは、Web Studio内のモジュールであり、次の機能を提供します：

スマートカード認証。
統合Windows認証を使用して、オーケストレーションサービスからFMAベアラートークンを取得します。

手順5（オプション）Web Studioの認証の委任を構成する

Web StudioとDelivery Controllerが異なるサーバーにインストールされている場合は、HOSTおよびHTTPSサービスについて、各Web StudioサーバーのDelivery Controllerへの委任を構成する必要があります。

各Web Studioサーバーのタスクを完了するには、次の手順を実行します：

Delivery Controller Orchestration HTTPS証明書をインポートする
Web Studioサーバーの委任を構成する
Web Studio IISサーバーのサービスアカウントの委任を構成する

Delivery Controller Orchestration HTTPS証明書をインポートする

Web Studioサーバーで、Delivery Controller Orchestration HTTPS証明書を ［信頼されたルート証明機関］ にインポートします。詳細な手順は次のとおりです：

［設定］>［コンピューター証明書の管理］ を開始します。
［信頼されたルート証明機関］>［証明書］ を右クリックして ［すべてのタスク］>［インポート］ を選択します。
画面の指示に従って、Delivery Controller Orchestration HTTPS証明書をインポートします。

Web Studioサーバーの委任を構成する

ドメインコントローラーで、HOSTおよびHTTPサービスに関してWeb Studioサーバーの委任をDelivery Controllerに構成します。タスクを完了するには、次の手順を実行します：

ドメインコントローラーで、Active Directory管理センターを起動します。
委任を構成するWeb Studioサーバーのコンピューターアカウント（たとえば、Dan002）を見つけます。
アカウントを右クリックして ［プロパティ］ を選択します。
1. ［委任］ タブに移動します。
  
  !委任の構成を入力
2. ［指定されたサービスへの委任でのみこのユーザーを信頼する］>［任意の認証プロトコルを使う］ を選択します。
3. ［追加］ をクリックして、このコンピューターアカウントを委任できるサービスを指定します。
4. 表示される ［サービスの追加］ ダイアログボックスで、［ユーザーまたはコンピューターの追加］ をクリックして、Delivery Controllerのコンピューター名（たとえば、Dan001）を見つけます。
5. HOSTおよびHTTPサービスを選択し、［OK］ をクリックします。

構成結果は次のスクリーンショットに示されています。証明書テンプレートの管理

Web Studio IISサーバーのサービスアカウントの委任を構成する

Web Studio IISサーバーのサービスアカウントを構成した場合は、HOSTおよびHTTPサービスに関してDelivery Controllerへのこのサービスアカウントの委任も構成する必要があります。この委任が確立されると、Web Studioサーバーはサービスアカウントを使用して現在のスマートカードユーザーに偽装し、デリバリーグループのHOSTおよびHTTPサービスにアクセスできるようになります。構成を完了するには、次の手順を実行します：

ドメインコントローラーで、Active Directory管理センターを起動します。
委任を構成するユーザーアカウント（たとえば、svr-stud-002）を見つけます。
アカウントを右クリックして ［プロパティ］ を選択します。
手順2で説明されている手順に従って、Web Studio IISサーバーアカウントをDelivery ControllerのHOSTおよびHTTPサービスで委任します。

構成結果は次のスクリーンショットに示されています。

証明書テンプレートの管理

手順6：Web Studioのスマートカード認証を有効にする

Web Studioでスマートカード認証を有効にするには、次の手順を実行します：

Web Studioにサインインし、左側のペインで ［設定］ を選択します。
必要に応じて、スマートカード認証またはドメイン資格情報 + スマートカード認証を選択します。
必要に応じて、スマートカード認証またはドメイン資格情報またはスマートカード認証を選択します。
［適用］ をクリックします。

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

Web Studioのスマートカード認証の設定

September 20, 2024

寄稿者:

September 20, 2024

寄稿者:

この情報は役に立ちましたか?