証明機関を使用して PFX 証明書プロファイルを作成する
Configuration Manager (現在のブランチ) に適用
資格情報に証明機関を使用する証明書プロファイルを作成する方法について説明します。 この記事では、個人情報交換 (PFX) 証明書プロファイルに関する特定の情報について説明します。 これらのプロファイルを作成および構成する方法の詳細については、「 証明書プロファイル」を参照してください。
Configuration Managerでは、証明機関によって発行された資格情報を使用して PFX 証明書プロファイルを作成できます。 証明機関として [Microsoft] または [Entrust] を選択できます。 ユーザー デバイスに展開すると、PFX ファイルは、暗号化されたデータ交換をサポートするためにユーザー固有の証明書を生成します。
既存の証明書ファイルから証明書資格情報をインポートするには、「 PFX 証明書プロファイルのインポート」を参照してください。
前提条件
証明書プロファイルの作成を開始する前に、必要な前提条件の準備ができていることを確認してください。 詳細については、「 証明書プロファイルの前提条件」を参照してください。 たとえば、PFX 証明書プロファイルの場合は、 証明書登録ポイント のサイト システムの役割が必要です。
プロファイルの作成
Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[コンプライアンス設定] を展開し、[会社のリソース アクセス] を展開して、[証明書プロファイル] を選択します。
リボンの [ ホーム ] タブの [ 作成 ] グループで、[ 証明書プロファイルの作成] を選択します。
証明書プロファイルの作成ウィザードの [全般] ページで、次の情報を指定します。
[名前]: 証明書プロファイルの一意の名前を入力します。 最大 256 文字を使用できます。
説明: Configuration Manager コンソールで識別するのに役立つ証明書プロファイルの概要を示す説明を入力します。 最大 256 文字を使用できます。
[ Personal Information Exchange - PKCS #12 (PFX)] 設定 - [作成] を選択します。 このオプションは、接続されたオンプレミス証明機関 (CA) からユーザーに代わって証明書を要求します。 証明機関 (Microsoft または Entrust) を選択します。
注:
[インポート] オプションは、既存の証明書から情報を取得して証明書プロファイルを作成します。 詳細については、「 PFX 証明書プロファイルのインポート」を参照してください。
[ サポートされているプラットフォーム ] ページで、この証明書プロファイルでサポートされている OS バージョンを選択します。 Configuration Managerのバージョンでサポートされている OS バージョンの詳細については、「クライアントとデバイスでサポートされている OS バージョン」を参照してください。
[ 証明機関 ] ページで、証明書登録ポイント (CRP) を選択して PFX 証明書を処理します。
- プライマリ サイト: CA の CRP ロールを含むサーバーを選択します。
- 証明機関: 関連する CA を選択します。
詳細については、「 証明書インフラストラクチャ」を参照してください。
[PFX 証明書] ページの設定は、[全般] ページで選択した CA によって異なります。
Microsoft CA の PFX 証明書設定を構成する
[ 証明書テンプレート名] で、証明書テンプレートを選択します。
S/MIME 署名または暗号化に証明書プロファイルを使用するには、[ 証明書の使用] を有効にします。
このオプションを有効にすると、ターゲット ユーザーに関連付けられているすべての PFX 証明書がすべてのデバイスに配信されます。 このオプションを有効にしない場合、各デバイスは一意の証明書を受け取ります。
[サブジェクト名の形式] を [共通名] または [完全に区別された名前] に設定します。 使用する方法がわからない場合は、CA 管理者にお問い合わせください。
[サブジェクトの別名] で、CA に応じて Email アドレスとユーザー プリンシパル名 (UPN) を有効にします。
更新のしきい値: 有効期限が切れるまでの残りの時間の割合に基づいて、証明書が自動的に更新されるタイミングを決定します。
[証明書の有効期間] を証明書の有効期間に設定します。
証明書登録ポイントで Active Directory 資格情報が指定されている場合は、 Active Directory の発行を有効にします。
サポートされているプラットフォームを 1 つ以上選択Windows 10場合:
Windows 証明書ストアを [ユーザー] に設定します。 ([ ローカル コンピューター] オプションでは証明書は展開されません。選択しないでください)。
次のいずれかの キー ストレージ プロバイダー (KSP) を選択します。
- トラステッド プラットフォーム モジュール (TPM) へのインストール (存在する場合)
- トラステッド プラットフォーム モジュール (TPM) へのインストールが失敗する
- インストールして失敗Windows Hello for Business
- ソフトウェア キー ストレージ プロバイダーへのインストール
ウィザードを終了します。
Entrust CA の PFX 証明書 設定を構成する
[ デジタル ID 構成] で、構成プロファイルを選択します。 Entrust 管理者は、デジタル ID 構成オプションを作成します。
S/MIME 署名または暗号化に証明書プロファイルを使用するには、[ 証明書の使用] を有効にします。
このオプションを有効にすると、ターゲット ユーザーに関連付けられているすべての PFX 証明書がすべてのデバイスに配信されます。 このオプションを有効にしない場合、各デバイスは一意の証明書を受け取ります。
Entrust Subject name format tokens を Configuration Manager フィールドにマップするには、[書式] を選択します。
[証明書名の書式設定] ダイアログには、Entrust Digital ID 構成変数が一覧表示されます。 各 Entrust 変数で、適切なConfiguration Manager フィールドを選択します。
Entrust Subject Alternative Name トークンをサポートされている LDAP 変数にマップするには、[書式] を選択 します。
[証明書名の書式設定] ダイアログには、Entrust Digital ID 構成変数が一覧表示されます。 各 Entrust 変数に対して、適切な LDAP 変数を選択します。
更新のしきい値: 有効期限が切れるまでの残りの時間の割合に基づいて、証明書が自動的に更新されるタイミングを決定します。
[証明書の有効期間] を証明書の有効期間に設定します。
証明書登録ポイントで Active Directory 資格情報が指定されている場合は、 Active Directory の発行を有効にします。
サポートされているプラットフォームを 1 つ以上選択Windows 10場合:
Windows 証明書ストアを [ユーザー] に設定します。 ([ ローカル コンピューター] オプションでは証明書は展開されません。選択しないでください)。
次のいずれかの キー ストレージ プロバイダー (KSP) を選択します。
- トラステッド プラットフォーム モジュール (TPM) へのインストール (存在する場合)
- トラステッド プラットフォーム モジュール (TPM) へのインストールが失敗する
- インストールして失敗Windows Hello for Business
- ソフトウェア キー ストレージ プロバイダーへのインストール
ウィザードを終了します。
プロファイルをデプロイする
証明書プロファイルを作成すると、[ 証明書 プロファイル] ノードで使用できるようになります。 デプロイ方法の詳細については、「 リソース アクセス プロファイルのデプロイ」を参照してください。