証明書の取扱について知っている人の中では、自己署名証明書は「オレオレ証明書」と呼ばれ取扱いには注意が必要。
はてなのキーワード にも引用されている「高木浩光氏によるオレオレ証明書の分類」のうち、ここで設定しようとしているのは《第四種オレオレ証明書:特定の者だけに利用させることを想定しているもの》である。
ActiveDirectory を利用して管理者が社内向けに証明書を配布する管理体制というのは個人的には推奨できるものと考えている。(ちなみに System Center Operations Manager 2007 も内部で自己署名証明書を配布する設定をしている)
信頼されたルート証明機関の配布設定は、グループポリシー管理エディタで、[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[公開キーのポリシー]-[信頼されたルート証明機関]にある。ここで配布したい証明書をインポートすると配布が行われる。
証明機関の運用体制として、以下のようなルート証明機関を利用する場合にこのような作業をする。
- 長期間の有効期限を持つ
- ネットワーク接続されておらず発行手順にあたっては厳密な運用規定がある。
- ルート証明機関の下に、通常の証明書発行用の下位証明機関を設置する
ただし、ActiveDirectoryの運用を前提とするのであれば、証明機関の秘密鍵が漏洩したような場合に「信頼されていない」ものとして配布する経路も存在する。なので社内ネットワーク向けだけなのであれば、ルート証明機関をそのまま通常発行用の証明機関にしてしまう、すなわち エンタープライズルート証明機関として作成する方が運用が楽でいいかもしれない。
Mimori's Algorithms Press 