技術情報コラムColumn

証明書テンプレートの互換性設定について

技術解説

無線LAN用のコンピュータ証明書を作成する際などに、既存の証明書テンプレートを複製して新しいテンプレートを作成しパラメータの設定等を実施しますが、「互換性」タブにある「証明機関」や「証明書の受信者」設定を初期値から変更した場合、テンプレートのスキーマバージョンが変化し、証明書を受信するPCのOSバージョンによっては証明書が受信できないという現象が発生します。

 

画面はWindowsServer2012R2の「証明機関」ツールでの「証明書テンプレート」の一覧にある「ワークステーション認証」の「互換性」タブの画面です。

初期値では画像の様に少々古いOSが指定されていますが、認証局を構築しているサーバが Windows Server 2012R2で、証明書を使用するPCがWindows10の場合は「証明機関」プルダウンメニューから 「Windows Server 2012R2」を選択し、「証明書の受信者」プルダウンメニューから「Windows 8.1」を選択するかと思います。

画面の下のメッセージを見ますとどれを選択しても支障が無いように見えますが、「証明機関」で「Windows Server 2012R2」、「証明書の受信者」で「Windows 8.1/Windows Server 2012R2」を選択してテンプレートを作成すると、テンプレートの管理の一覧でスキーマのバージョンが初期値の2から4に変化していることが分かります。

スキーマバージョンが「4」のテンプレートから作成された証明書は、Windows7では受信できない為、証明書の配布先PCのOSに応じて「互換性」タブでの設定が必要となります。また、一度作成したテンプレートについて「互換性」タブでの設定変更は行えない為、再度基テンプレートから複製して追加作成する必要がありますのでご注意ください。