詳細な証明書信頼リストを作成して展開できます ここ ですが、通常の方法でグループポリシーを使用してルート証明書と中間証明書を展開するよりも、これの利点を理解しようとしています。なぜ私はこれをしたいのですか?
エンタープライズ証明書信頼リスト(CTL)を使用すると、どのタイプの証明書をどのような目的で信頼できるかをより細かく制御できます。グループポリシーを介して証明書を配布するだけでは、それらの証明書がクライアントでどのように、どのような状況で信頼されるかを正確に制御することはできません。
証明書信頼リスト(CTL)を使用すると、外部の認証局(CA)によって発行された証明書の目的と有効期間の信頼を制御できます。
通常、認証局は、安全な電子メールやクライアント認証など、さまざまな目的で証明書を発行できます。ただし、特にCAが組織の外部にある場合は、特定の証明機関によって発行された証明書の信頼を制限したい場合があります。このような状況では、CTLを作成し、グループポリシーを介して使用すると便利です。
たとえば、「My CA」という名前の認証局が、サーバー認証、クライアント認証、コード署名、および安全な電子メールの証明書を発行できるとします。ただし、クライアント認証の目的でMyCAによって発行された証明書のみを信頼する必要があります。 CTLを作成し、My CAによって発行された証明書を信頼する目的を制限して、クライアント認証にのみ有効になるようにすることができます。 My CAによって別の目的で発行された証明書は、CTLが適用されるグループポリシーオブジェクト(GPO)の範囲内のコンピューターまたはユーザーによる使用は受け入れられません。
組織内に複数のCTLが存在する可能性があります。特定のドメインまたは組織単位の証明書の用途と信頼は異なる可能性があるため、個別のCTLを作成してこれらの用途を反映し、特定のCTLを特定のGPOに割り当てることができます。
組織でグループポリシーを使用することにより、信頼されたルート証明機関ポリシーまたはエンタープライズ信頼ポリシー(CTL)のいずれかを使用して、CAの信頼を指定するオプションがあります。使用するポリシーを決定するには、次のガイドラインを使用してください。•組織に独自のルートCAがあり、Active Directoryを使用している場合、それらのルート証明書を配布するためにグループポリシーメカニズムを使用する必要はありません。
•組織にサーバーにインストールされていない独自のルートCAがある場合は、信頼されたルート証明機関ポリシーを使用して、組織のルート証明書を配布する必要があります。詳細については、信頼されたルート証明機関のポリシーを参照してください。
•組織に独自のCAがない場合は、エンタープライズ信頼ポリシーを使用してCTLを作成し、組織の外部ルートCAの信頼を確立します。詳細については、「エンタープライズ信頼ポリシーの使用」を参照してください。