Windows 2008 PKIの戦闘3：証明書サービス

（続き）代行登録エージェント機能を使用すると、登録済みエージェントができることとできないことを正確に定義できます。ユーザーが自宅にスマートカードを落とした場合に備えて、受付係の設定など、一時的なスマートカード登録を誰かに委任することができます。

次に追加された機能はネットワークデバイス登録サービス（SCEP）と呼ばれ、ローカルインストールに統合されています。これは、通常のWindowsインストールを介してユーザーが自分の資格情報を登録することを可能にする単純な機能です。

管理性は、大幅に向上した重要な機能です。たとえば、パフォーマンスカウンタが証明書サービスに追加されたため、PKI管理者は組織全体のCAのパフォーマンスをより簡単に監視できます。

証明書サービス管理機能のデモ

Windowsの信頼性とパフォーマンスモニタは、システムパフォーマンスを分析するためのツールを提供するMMCです。このツールは、Windows Server 2008のさまざまな側面のパフォーマンスを監視および文書化する方法を提供します。

デフォルトのモニタには、現在のプロセッサの使用状況が表示されます。デモでは必要ありません。パフォーマンスモニタを追加するには、ツールバーの[カウンタを追加]ボタンをクリックします。利用可能なカウンタの一覧には、オペレーティングシステムで利用可能なすべてのカウンタが表示されます。今日、私たちは証明書サービスについて心配しています。

CAを拡張すると、利用可能なオプションの一覧が表示されます。これらのオプションは、どの構成オプションが特定の環境に最適かをよりよく理解するためのものです。 CAのカウンターとしてリクエスト処理時間を追加します。図24に示すとおり

私たちはOCSPの設定を監視することができ、このサービスのリクエスト処理時間を監視します。図25に示すとおりで
今選択したカウンタは、再度、詳細欄に表示されます。この小さなデータセットのようなカウンターの場合は、レポートとしてオフラインで表示するほうが良いでしょう。図26に示すとおり大量のデータの結果をグラフィックに変換するのが最善です。

我々は十分ではありませんだけで、要求を監視しますので。この報告書には、CAの要求、およびOCSPサーバーの合計処理時間が示されています。

新しい証明書をもう1つ作成してから、結果を監視します。この証明書は、作成された証明書の複製になります。

信頼性とパフォーマンスモニターでは、CA要求処理時間カウンターに値が設定されるようになりました。図27に示すように。

Windows Server 2008の代理人登録機能では、これまで以上に正確な代理オプションの構成が可能になります。代理登録エージェントを使用すると、登録エージェント、証明書テンプレート、およびユーザーを制限できます。以前のシステムでは、PKI登録エージェントはフォレスト内の誰かに代わってあらゆる種類の証明書を登録することができました。

委任登録エージェントの利用可能な機能に焦点を当てます。制限を有効にすると、この機能がWindows Server 2008サーバーでのみ機能することを確認する警告が表示されます。図28に示すように

ログイン

登録エージェントセクションは、ドメイン登録エージェントに指定された制限を可能にします。これらは[登録エージェント]列に追加または削除できます。登録エージェントを制限すると、警告メッセージが表示され、委任された登録エージェントに対する制限はWindows Server 2008以降のCAにのみ適用できることを促します。委任プロキシを設計する前に、登録されているプロキシポリシーがPKI環境に適用可能であることを確認してください。

証明書テンプレートセクションでは、CAのさまざまな登録テンプレートを制限できます。 Permissionsセクションは、登録時に指定されたユーザーの許可を制限します。