自組織のCAを作成するための手順 - Windows Server

Windows Serverで自組織のCAを作成するための手順を紹介します。

1:認証局 (ルートCA)の構築

最初にルートCAをセットアップします。こちらの記事の手順で証明機関をインストールします。
証明機関のインストール後、ルートCAとして認証局をセットアップします。ルートCAの構成手順は、こちらの記事を参照してください。

2:ルートCAの証明書取得

こちらの記事の手順に従ってルートCAの証明書を取得します。

3:認証局 (中間認証局)の構築

ルートCAから直接証明書を発行しても良いのですが、一般的には中間認証局がサーバー証明書を発行する仕組みになっていますので、中間認証局を準備します。ルートCAとは別のマシンを用意して、こちらの記事の手順で証明機関をインストールします。
証明機関のインストール後、中間認証局としてセットアップします。中間認証局の構成手順は、こちらの記事を参照してください。

4:中間認証局の中間証明書の取得

こちらの記事の手順に従って中間認証局の証明書を取得します。

5:自組織のクライアントPCに認証局の証明書をインポートする

自組織のクライアントPCに認証局の証明書をインポートします。2で取得したルートCAの証明書と4で取得した中間認証局の中間証明書をインポートします。
ルートCAの証明書のインポート手順はこちらの記事を、 中間認証局の中間証明書のインポート手順はこちらの記事を参照してください。

CAの構築はここまでで完了になります。以下はサーバー証明書の発行や利用になります。

Webサーバーのサーバー証明書を発行し、SSLサイトをセットアップする

Webサーバーの証明書を発行します。IISでの発行手順はこちらの記事またはこちらの記事を参照してください。なお、Google ChromeでもWebサーバーを利用する場合は、SANフィールドにDNS Nameの値が設定された証明書を作成する必要があるため、こちらの記事を参照してください。

Windows Admin Center の証明書発行

Windows Admin Centerで証明書を発行する場合はこちらの記事を参照してください。

リモートデスクトップ ゲートウェイの証明書発行

リモートデスクトップ ゲートウェイでの証明書発行はこちらの記事を参照してください。(IISのWebサーバーの証明書を発行する手順と同じです。)

補足

自組織のCAは証明書などの発行で自由度が高く便利ですが、自組織のルートCA証明書を利用するデバイスに配布して信頼されたルート証明書として登録する必要があります。 デバイスの台数が少ない場合は対応できますが、デバイスの台数が増えるとルートCA証明書の配布も手間になります。また、ルートCA証明書をうっかり廃止、または更新してしまった場合なども、 対応に大きな手間がかかります。
そのため、ルートCAはデバイスに組み込まれた、一般的なルート認証局を利用するほうが、アプリケーションの設定やデバイスの管理面で便利です。

Let's Encryptの証明書は無料で利用できるため、利用候補になります。以前は外部からアクセスできるWebサーバーに対してのみ証明書が発行できましたが、 新しいバージョンでは、DNS認証に対応しワイルドカードの証明書の取得や証明書ファイルの取得もできるようになりました。
自組織のCA運用で運用の手間がかかるようであれば、Let's Encryptへの乗り換えも検討候補になります。
Let's Encrypt でのワイルドカード証明書の取得手順はこちらの記事を、 pfx形式で証明書ファイルを取得する手順はこちらの記事を参照してください。