Configuration Managerの PKI 証明書の展開の詳細な例: Windows Server 2008 証明機関

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Windows Server 2008 証明機関 (CA) を使用するこの展開例には、Configuration Manager使用する公開キー インフラストラクチャ (PKI) 証明書を作成して展開する方法を示す手順があります。 これらの手順では、エンタープライズ証明機関 (CA) と証明書テンプレートを使用します。 この手順は、概念実証として、テスト ネットワークにのみ適しています。

必要な証明書の展開方法は 1 つないため、運用環境に必要な証明書を展開するために必要な手順とベスト プラクティスについては、特定の PKI 展開ドキュメントを参照してください。 証明書の要件の詳細については、「Configuration Managerの PKI 証明書の要件」を参照してください。

ヒント

このトピックの手順は、「テスト ネットワーク要件」セクションに記載されていないオペレーティング システムに合わせて調整できます。 ただし、Windows Server 2012で発行元 CA を実行している場合は、証明書テンプレートのバージョンの入力を求めされません。 代わりに、テンプレート プロパティの [ 互換性 ] タブでこれを指定します。

  • 証明機関: Windows Server 2003
    • 証明書の受信者: Windows XP/Server 2003

ネットワーク要件をテストする

詳しい手順には、次の要件があります。

  • テスト ネットワークは Windows Server 2008 でActive Directory Domain Services実行されており、単一ドメインの単一フォレストとしてインストールされます。

  • Windows Server 2008 Enterprise Editionを実行しているメンバー サーバーがあり、Active Directory 証明書サービスロールがインストールされており、エンタープライズ ルート証明機関 (CA) として設定されています。

  • Windows Server 2008 (Standard Edition または Enterprise Edition、R2 以降) がインストールされている 1 台のコンピューターがあり、そのコンピューターがメンバー サーバーとして指定され、インターネット インフォメーション サービス (IIS) がインストールされています。 このコンピューターは、イントラネット上のクライアント接続とインターネット FQDN をサポートするようにイントラネット完全修飾ドメイン名 (FQDN) を使用して構成するConfiguration Manager サイト システム サーバーになります(インターネット上のConfiguration Managerおよびクライアントによって登録されるモバイル デバイスをサポートする必要がある場合)。

  • 最新のサービス パックがインストールされている Windows Vista クライアントが 1 つあり、このコンピューターは ASCII 文字で構成され、ドメインに参加しているコンピューター名で設定されています。 このコンピューターは、Configuration Manager クライアント コンピューターになります。

  • ルート ドメイン管理者アカウントまたはエンタープライズ ドメイン管理者アカウントを使用してサインインし、このデプロイ例のすべての手順にこのアカウントを使用できます。

証明書の概要

次の表に、Configuration Managerに必要な PKI 証明書の種類と、その使用方法を示します。

証明書の要件 証明書の説明
IIS を実行するサイト システムの Web サーバー証明書 この証明書は、データを暗号化し、クライアントに対してサーバーを認証するために使用されます。 これは、インターネット インフォメーション サービス (IIS) を実行するサイト システム サーバー上のConfiguration Managerから外部にインストールする必要があり、HTTPS を使用するようにConfiguration Managerで設定されている必要があります。

この証明書を設定してインストールする手順については、このトピック の「IIS を実行するサイト システムの Web サーバー証明書を展開する 」を参照してください。
クライアントがクラウドベースの配布ポイントに接続するためのサービス証明書 この証明書を構成してインストールする手順については、このトピック の「クラウドベースの配布ポイントのサービス証明書をデプロイする 」を参照してください。

大事な: この証明書は、Windows Azure 管理証明書と組み合わせて使用されます。 管理証明書の詳細については、「 管理証明書を作成する方法 」と「 管理証明書を Windows Azure サブスクリプションに追加する方法」を参照してください
Windows コンピューターのクライアント証明書 この証明書は、HTTPS を使用するように設定されているサイト システムConfiguration Managerクライアント コンピューターを認証するために使用されます。 また、管理ポイントと状態移行ポイントに使用して、HTTPS を使用するように設定されている場合に運用状態を監視することもできます。 コンピューター上のConfiguration Managerから外部にインストールする必要があります。

この証明書を設定してインストールする手順については、このトピック の「Windows コンピューター用のクライアント証明書を展開する 」を参照してください。
配布ポイントのクライアント証明書 この証明書には、次の 2 つの目的があります。

証明書は、配布ポイントがステータス メッセージを送信する前に、HTTPS 対応管理ポイントへの配布ポイントの認証に使用されます。

[ クライアントの PXE サポートのサポートを有効にする ] 配布ポイント オプションを選択すると、オペレーティング システムの展開中に HTTPS 対応の管理ポイントに接続できるように、PXE ブートするコンピューターに証明書が送信されます。

この証明書を設定してインストールする手順については、このトピック の「配布ポイントのクライアント証明書を展開する 」を参照してください。
モバイル デバイスの登録証明書 この証明書は、HTTPS を使用するように設定されたサイト システムConfiguration Managerモバイル デバイス クライアントを認証するために使用されます。 Configuration Managerのモバイル デバイス登録の一部としてインストールする必要があり、構成されている証明書テンプレートをモバイル デバイス クライアント設定として選択します。

この証明書を設定する手順については、このトピック の「モバイル デバイスの登録証明書を展開する 」を参照してください。
Mac コンピューターのクライアント証明書 Configuration Manager登録を使用し、構成された証明書テンプレートをモバイル デバイス クライアント設定として選択するときに、Mac コンピューターからこの証明書を要求してインストールできます。

この証明書を設定する手順については、このトピック の「Mac コンピューター用のクライアント証明書を展開する 」を参照してください。

IIS を実行するサイト システム用の Web サーバー証明書を展開する

この証明書の展開には、次の手順があります。

  • 証明機関で Web サーバー証明書テンプレートを作成して発行する

  • Web サーバー証明書を要求する

  • Web サーバー証明書を使用するように IIS を構成する

証明機関で Web サーバー証明書テンプレートを作成して発行する

この手順では、Configuration Manager サイト システム用の証明書テンプレートを作成し、証明機関に追加します。

証明機関で Web サーバー証明書テンプレートを作成して発行するには

  1. Iis を実行するサイト システムをインストールするメンバー サーバーを持つ ConfigMgr IIS サーバーという名前Configuration Managerセキュリティ グループを作成します。

  2. Certificate Services がインストールされているメンバー サーバーで、証明機関コンソールで [ 証明書テンプレート ] を右クリックし、[ 管理 ] を選択して 証明書テンプレート コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレートの表示名] 列に Web サーバーがあるエントリを右クリックし、[テンプレートの複製] を選択します。

  4. [テンプレートの複製] ダイアログ ボックスで、Windows 2003 Server Enterprise Editionが選択されていることを確認し、[OK] を選択します

    重要

    [Windows 2008 Server,Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、ConfigMgr Web Server 証明書などのテンプレート名を入力して、Configuration Manager サイト システムで使用される Web 証明書を生成します。

  6. [ サブジェクト名 ] タブを選択し、 要求の [供給] が選択されていることを確認します。

  7. [セキュリティ] タブを選択し、Domain Admins および Enterprise Admins セキュリティ グループから [登録] アクセス許可を削除します。

  8. [ 追加] を選択し、テキスト ボックスに 「ConfigMgr IIS サーバー 」と入力し、[ OK] を選択します

  9. このグループの [登録 ] アクセス許可を選択し、[ 読み取り ] アクセス許可をオフにしないでください。

  10. [ OK] を選択し、 証明書テンプレート コンソールを閉じます。

  11. 証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。

  12. [ 証明書テンプレートの有効化 ] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr Web Server 証明書] を選択し、[ OK] を選択します

  13. 証明書を作成して発行する必要がない場合は、 証明機関を閉じます。

Web サーバー証明書を要求する

この手順では、サイト システム サーバーのプロパティで設定されるイントラネットとインターネットの FQDN 値を指定し、IIS を実行するメンバー サーバーに Web サーバー証明書をインストールします。

Web サーバー証明書を要求するには

  1. IIS を実行するメンバー サーバーを再起動して、構成した 読み取り および 登録 のアクセス許可を使用して作成した証明書テンプレートにコンピューターがアクセスできることを確認します。

  2. [ スタート] を選択し、[ 実行] を選択し、「mmc.exe」と入力します 空のコンソールで、[ ファイル] を選択し、[ スナップインの追加と削除] を選択します。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[使用可能なスナップイン] の一覧から [証明書] を選択し、[追加] を選択します。

  4. [ 証明書スナップイン ] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] を選択します。

  5. [ コンピューターの選択 ] ダイアログ ボックスで、[ ローカル コンピューター: (このコンソールが実行されているコンピューター)] が 選択されていることを確認し、[完了] を選択 します

  6. [ スナップインの追加と削除 ] ダイアログ ボックスで、[OK] を選択します

  7. コンソールで、[ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を選択します。

  8. [証明書] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] を選択します。

  9. [ 作業を開始する前 に] ページで、[ 次へ] を選択します。

  10. [証明書登録ポリシーの選択] ページが表示されたら、[次へ] を選択します。

  11. [ 証明書の要求 ] ページで、使用可能な証明書の一覧から ConfigMgr Web サーバー証明書 を特定し、 この証明書の登録に [詳細情報が必要です] を選択します。ここをクリックして設定を構成します

  12. [ 証明書のプロパティ ] ダイアログ ボックスの [ サブジェクト ] タブで、[ サブジェクト名] に変更を加えないでください。 つまり、[サブジェクト名] セクションの [値] ボックスは空白のままです。 代わりに、[ 別名 ] セクションで [ 種類 ] ドロップダウン リストを選択し、[DNS] を選択 します

  13. [] ボックスで、Configuration Manager サイト システムのプロパティで指定する FQDN 値を指定し、[OK] を選択して [証明書のプロパティ] ダイアログ ボックスを閉じます。

    例:

    • サイト システムがイントラネットからのクライアント接続のみを受け入れ、サイト システム サーバーのイントラネット FQDN が server1.internal.contoso.com されている場合は、「 server1.internal.contoso.com」と入力し、[ 追加] を選択します。

    • サイト システムがイントラネットとインターネットからのクライアント接続を受け入れ、サイト システム サーバーのイントラネット FQDN が server1.internal.contoso.com され、サイト システム サーバーのインターネット FQDN が server.contoso.com されている場合:

      1. 「server1.internal.contoso.com」と入力し、[追加] を選択します。

      2. 「server.contoso.com」と入力し、[追加] を選択します。

      注:

      Configuration Managerの FQDN は任意の順序で指定できます。 ただし、モバイル デバイスやプロキシ Web サーバーなど、証明書を使用するすべてのデバイスで、証明書サブジェクトの別名 (SAN) と SAN 内の複数の値を使用できることを確認します。 証明書での SAN 値のサポートがデバイスで制限されている場合は、FQDN の順序を変更するか、代わりにサブジェクト値を使用する必要があります。

  14. [ 証明書の要求 ] ページで、使用可能な証明書の一覧から [ConfigMgr Web Server 証明書 ] を選択し、[ 登録] を選択します。

  15. [ 証明書のインストール結果 ] ページで、証明書がインストールされるまで待ってから、[完了] を選択 します

  16. 証明書 (ローカル コンピューター) を閉じます。

Web サーバー証明書を使用するように IIS を構成する

この手順では、インストールされている証明書を IIS の既定の Web サイトにバインドします。

Web サーバー証明書を使用するように IIS を設定するには

  1. IIS がインストールされているメンバー サーバーで、[ スタート] を選択し、[ プログラム] を選択し、[ 管理ツール] を選択して、[ インターネット インフォメーション サービス (IIS) マネージャー] を選択します。

  2. [ サイト] を展開し、[ 既定の Web サイト] を右クリックし、[ バインドの編集] を選択します。

  3. https エントリを選択し、[編集] を選択します

  4. [ サイト バインドの編集 ] ダイアログ ボックスで、ConfigMgr Web サーバー証明書テンプレートを使用して要求した証明書を選択し、[OK] を選択します

    注:

    正しい証明書が不明な場合は、証明書を選択し、[ 表示] を選択します。 これにより、選択した証明書の詳細を [証明書] スナップインの証明書と比較できます。 たとえば、[証明書] スナップインには、証明書の要求に使用された証明書テンプレートが表示されます。 その後、ConfigMgr Web サーバー証明書テンプレートを使用して要求された証明書の証明書拇印を、[ サイト バインドの編集 ] ダイアログ ボックスで現在選択されている証明書の証明書拇印と比較できます。

  5. [サイト バインドの編集] ダイアログ ボックスで [OK] を選択し、[閉じる] を選択します。

  6. インターネット インフォメーション サービス (IIS) マネージャーを閉じます。

    メンバー サーバーは、Configuration Manager Web サーバー証明書を使用して設定されるようになりました。

重要

このコンピューターにConfiguration Manager サイト システム サーバーをインストールする場合は、証明書を要求したときに指定したのと同じ FQDN をサイト システムのプロパティに指定してください。

クラウドベースの配布ポイントのサービス証明書をデプロイする

この証明書の展開には、次の手順があります。

証明機関でカスタム Web サーバー証明書テンプレートを作成して発行する

この手順では、Web サーバー証明書テンプレートに基づくカスタム証明書テンプレートを作成します。 証明書はクラウドベースの配布ポイントConfiguration Manager用であり、秘密キーはエクスポート可能である必要があります。 証明書テンプレートが作成されると、証明機関に追加されます。

注:

この手順では、IIS を実行するサイト システム用に作成した Web サーバー証明書テンプレートとは異なる証明書テンプレートを使用します。 どちらの証明書にもサーバー認証機能が必要ですが、クラウドベースの配布ポイントの証明書では、サブジェクト名のカスタム定義値を入力する必要があり、秘密キーをエクスポートする必要があります。 セキュリティのベスト プラクティスとして、この構成が必要でない限り秘密キーをエクスポートできるように証明書テンプレートを設定しないでください。 クラウドベースの配布ポイントでは、証明書ストアから証明書を選択するのではなく、証明書をファイルとしてインポートする必要があるため、この構成が必要です。

この証明書の新しい証明書テンプレートを作成するときに、秘密キーをエクスポートできる証明書を要求できるコンピューターを制限できます。 運用ネットワークでは、この証明書に次の変更を追加することも検討できます。

  • 追加のセキュリティのために証明書をインストールするには、承認が必要です。
    • 証明書の有効期間を長くします。 有効期限が切れる前に証明書をエクスポートしてインポートする必要があるため、有効期間を長くすると、この手順を繰り返す頻度が減ります。 ただし、有効期間を長くすると、攻撃者が秘密キーを解読して証明書を盗む時間が長くなるため、証明書のセキュリティも低下します。
    • 証明書サブジェクト代替名 (SAN) のカスタム値を使用して、IIS で使用する標準の Web サーバー証明書からこの証明書を識別するのに役立ちます。
証明機関でカスタム Web サーバー証明書テンプレートを作成して発行するには

  1. クラウド ベースの配布ポイントを管理するプライマリ サイト サーバー Configuration Managerインストールするメンバー サーバーを持つ ConfigMgr サイト サーバーという名前のセキュリティ グループを作成します。

  2. 証明機関コンソールを実行しているメンバー サーバーで、[ 証明書テンプレート] を右クリックし、[ 管理 ] を選択して証明書テンプレート管理コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレートの表示名] 列に Web サーバーがあるエントリを右クリックし、[テンプレートの複製] を選択します。

  4. [テンプレートの複製] ダイアログ ボックスで、Windows 2003 Server Enterprise Editionが選択されていることを確認し、[OK] を選択します

    重要

    [Windows 2008 Server,Enterprise Edition] を選択しないでください。

  5. [ 新しいテンプレートのプロパティ ] ダイアログ ボックスの [ 全般 ] タブで、 ConfigMgr Cloud-Based配布ポイント証明書などのテンプレート名を入力して、クラウドベースの配布ポイントの Web サーバー証明書を生成します。

  6. [ 要求処理 ] タブを選択し、[ 秘密キーのエクスポートを許可する] を選択します。

  7. [セキュリティ] タブを選択し、Enterprise Admins セキュリティ グループから [登録] アクセス許可を削除します。

  8. [ 追加] を選択し、テキスト ボックスに 「ConfigMgr サイト サーバー 」と入力し、[ OK] を選択します

  9. このグループの [登録] アクセス許可を選択し、[ 読み取り ] アクセス許可をオフにしないでください。

  10. [ 暗号化 ] タブを選択し、[ 最小キー サイズ ] が [2048] に設定されていることを確認します。

  11. [ OK] を選択し、 証明書テンプレート コンソールを閉じます。

  12. 証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。

  13. [ 証明書テンプレートの有効化 ] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr Cloud-Based配布ポイント証明書] を選択し、[OK] を選択します

  14. 証明書を作成して発行する必要がない場合は、 証明機関を閉じます。

カスタム Web サーバー証明書を要求する

この手順では、サイト サーバーを実行するメンバー サーバーにカスタム Web サーバー証明書を要求してインストールします。

カスタム Web サーバー証明書を要求するには

  1. 構成した読み取りおよび登録アクセス許可を使用して作成した証明書テンプレートにコンピューターがアクセスできるように、ConfigMgr サイト サーバー セキュリティ グループを作成して構成した後、メンバー サーバーを再起動します。

  2. [ スタート] を選択し、[ 実行] を選択し、「mmc.exe」と入力します 空のコンソールで、[ ファイル] を選択し、[ スナップインの追加と削除] を選択します。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[使用可能なスナップイン] の一覧から [証明書] を選択し、[追加] を選択します。

  4. [ 証明書スナップイン ] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] を選択します。

  5. [ コンピューターの選択 ] ダイアログ ボックスで、[ ローカル コンピューター: (このコンソールが実行されているコンピューター)] が 選択されていることを確認し、[完了] を選択 します

  6. [ スナップインの追加と削除 ] ダイアログ ボックスで、[OK] を選択します

  7. コンソールで、[ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を選択します。

  8. [証明書] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] を選択します。

  9. [ 作業を開始する前 に] ページで、[ 次へ] を選択します。

  10. [証明書登録ポリシーの選択] ページが表示されたら、[次へ] を選択します。

  11. [ 証明書の要求 ] ページで、使用可能な証明書の一覧から ConfigMgr Cloud-Based配布ポイント証明書 を特定し、[ この証明書の登録に必要な詳細情報] を選択します。設定を構成するには、ここを選択します

  12. [ 証明書のプロパティ ] ダイアログ ボックスの [ サブジェクト ] タブの [ サブジェクト名] で、[種類] として [ 共通名 ] を選択 します

  13. [ ] ボックスで、FQDN 形式を使用して、サービス名とドメイン名の選択を指定します。 例: clouddp1.contoso.com

    注:

    名前空間でサービス名を一意にします。 DNS を使用してエイリアス (CNAME レコード) を作成し、このサービス名を自動的に生成された識別子 (GUID) と Windows Azure の IP アドレスにマップします。

  14. [ 追加] を選択し、[ OK] を 選択して [ 証明書のプロパティ ] ダイアログ ボックスを閉じます。

  15. [ 証明書の要求 ] ページで、使用可能な証明書の一覧から [ConfigMgr Cloud-Based配布ポイント証明書 ] を選択し、[ 登録] を選択します。

  16. [ 証明書のインストール結果 ] ページで、証明書がインストールされるまで待ってから、[完了] を選択 します

  17. 証明書 (ローカル コンピューター) を閉じます。

クラウドベースの配布ポイントのカスタム Web サーバー証明書をエクスポートする

この手順では、クラウドベースの配布ポイントを作成するときにインポートできるように、カスタム Web サーバー証明書をファイルにエクスポートします。

クラウドベースの配布ポイントのカスタム Web サーバー証明書をエクスポートするには

  1. [証明書 (ローカル コンピューター)] コンソールで、インストールした証明書を右クリックし、[すべてのタスク] を選択して、[エクスポート] を選択します

  2. 証明書のエクスポート ウィザードで、[ 次へ] を選択します。

  3. [ 秘密キーのエクスポート ] ページで、[はい] を選択し 、秘密キーをエクスポートして、[ 次へ] を選択します。

    注:

    このオプションを使用できない場合は、秘密キーをエクスポートするオプションなしで証明書が作成されています。 このシナリオでは、必要な形式で証明書をエクスポートすることはできません。 秘密キーをエクスポートできるように証明書テンプレートを設定し、証明書をもう一度要求する必要があります。

  4. [ ファイル形式のエクスポート] ページで、 個人情報 Exchange - PKCS #12 (.PFX) オプションが選択されています。

  5. [ パスワード ] ページで、エクスポートされた証明書を秘密キーで保護する強力なパスワードを指定し、[ 次へ] を選択します。

  6. [ エクスポートするファイル ] ページで、エクスポートするファイルの名前を指定し、[ 次へ] を選択します。

  7. ウィザードを閉じるには、[証明書のエクスポート ウィザード] ページで [完了] を選択し、確認ダイアログ ボックスで [OK] を選択します

  8. 証明書 (ローカル コンピューター) を閉じます。

  9. ファイルを安全に保存し、Configuration Manager コンソールからアクセスできることを確認します。

    これで、クラウドベースの配布ポイントを作成するときに、証明書をインポートする準備ができました。

Windows コンピューター用のクライアント証明書を展開する

この証明書の展開には、次の手順があります。

  • 証明機関でワークステーション認証証明書テンプレートを作成して発行する

  • グループ ポリシーを使用してワークステーション認証テンプレートの自動登録を構成する

  • ワークステーション認証証明書を自動的に登録し、コンピューターへのインストールを確認する

証明機関でワークステーション認証証明書テンプレートを作成して発行する

この手順では、Configuration Managerクライアント コンピューター用の証明書テンプレートを作成し、証明機関に追加します。

証明機関でワークステーション認証証明書テンプレートを作成して発行するには

  1. 証明機関コンソールを実行しているメンバー サーバーで、[ 証明書テンプレート] を右クリックし、[ 管理 ] を選択して証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレートの表示名] 列でワークステーション認証を持つエントリを右クリックし、[テンプレートの複製] を選択します。

  3. [テンプレートの複製] ダイアログ ボックスで、Windows 2003 Server Enterprise Editionが選択されていることを確認し、[OK] を選択します

    重要

    [Windows 2008 Server,Enterprise Edition] を選択しないでください。

  4. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、ConfigMgr クライアント証明書などのテンプレート名を入力して、Configuration Managerクライアント コンピューターで使用されるクライアント証明書を生成します。

  5. [ セキュリティ ] タブを選択し、[ ドメイン コンピューター] グループを 選択し、[ 読み取り ] と [自動登録] の追加のアクセス許可を選択します。 [登録] をオフにしないでください。

  6. [ OK] を選択し、 証明書テンプレート コンソールを閉じます。

  7. 証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。

  8. [ 証明書テンプレートの有効化 ] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr クライアント証明書] を選択し、[ OK] を選択します

  9. 証明書を作成して発行する必要がない場合は、 証明機関を閉じます。

グループ ポリシーを使用してワークステーション認証テンプレートの自動登録を構成する

この手順では、コンピューター上のクライアント証明書を自動登録するグループ ポリシーを設定します。

グループ ポリシーを使用してワークステーション認証テンプレートの自動登録を設定するには

  1. ドメイン コントローラーで、[スタート] を選択し、[管理ツール] を選択し、[グループ ポリシー管理] を選択します。

  2. ドメインに移動し、ドメインを右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします。

    注:

    この手順では、Active Directory Domain Servicesでインストールされている既定のドメイン ポリシーを編集するのではなく、カスタム設定用の新しいグループ ポリシーを作成するベスト プラクティスを使用します。 このグループ ポリシーをドメイン レベルで割り当てると、ドメイン内のすべてのコンピューターに適用されます。 運用環境では、自動登録を制限して、選択したコンピューターにのみ登録できます。 組織単位レベルでグループ ポリシーを割り当てることも、ドメイン グループ ポリシーをセキュリティ グループでフィルター処理して、グループ内のコンピューターにのみ適用することもできます。 自動登録を制限する場合は、管理ポイントとして設定されているサーバーを必ず含めます。

  3. [新しい GPO] ダイアログ ボックスで、新しいグループ ポリシーの [証明書の自動登録] などの名前を入力し、[OK] を選択します

  4. 結果ウィンドウの [リンクされたグループ ポリシー オブジェクト] タブで、新しいグループ ポリシーを右クリックし、[編集] を選択します

  5. グループ ポリシー管理エディターで、[コンピューターの構成] で [ポリシー] を展開し、[Windows 設定][セキュリティ設定 / ] [公開キー ポリシー] / の順に移動します。

  6. Certificate Services Client - Auto-enrollment という名前のオブジェクトの種類を右クリックし、[プロパティ] を選択します。

  7. [構成モデル] ドロップダウン リストから [有効] を選択し、[有効期限切れの証明書の更新]、[保留中の証明書の更新]、[失効した証明書の削除]、[証明書テンプレートを使用する証明書の更新] の順に選択し、[OK] を選択します

  8. [グループ ポリシー管理] を閉じます。

ワークステーション認証証明書を自動的に登録し、コンピューターへのインストールを確認する

この手順では、クライアント証明書をコンピューターにインストールし、インストールを確認します。

ワークステーション認証証明書を自動的に登録し、クライアント コンピューターへのインストールを確認するには

  1. ワークステーション コンピューターを再起動し、サインインするまで数分待ちます。

    注:

    コンピューターの再起動は、証明書の自動登録で成功を確実にするための最も信頼性の高い方法です。

  2. 管理者権限を持つアカウントでサインインします。

  3. 検索ボックスに「 mmc.exe.」と入力し、 Enter キーを押します。

  4. 空の管理コンソールで、[ ファイル] を選択し、[ スナップインの追加と削除] を選択します。

  5. [スナップインの追加と削除] ダイアログ ボックスで、[使用可能なスナップイン] の一覧から [証明書] を選択し、[追加] を選択します。

  6. [ 証明書スナップイン ] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] を選択します。

  7. [ コンピューターの選択 ] ダイアログ ボックスで、[ ローカル コンピューター: (このコンソールが実行されているコンピューター)] が 選択されていることを確認し、[完了] を選択 します

  8. [ スナップインの追加と削除 ] ダイアログ ボックスで、[OK] を選択します

  9. コンソールで、[ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を展開して、[証明書] を選択 します

  10. 結果ウィンドウで、証明書に [目的] 列に [クライアント認証] があり、[ConfigMgr クライアント証明書] が [証明書テンプレート] 列にあることを確認します。

  11. 証明書 (ローカル コンピューター) を閉じます。

  12. メンバー サーバーに対して手順 1 ~ 11 を繰り返して、管理ポイントとして設定されるサーバーにもクライアント証明書があることを確認します。

    コンピューターがConfiguration Managerクライアント証明書で設定されるようになりました。

配布ポイントのクライアント証明書をデプロイする

注:

この証明書は、PXE ブートを使用しないメディア イメージにも使用できます。証明書の要件は同じであるためです。

この証明書の展開には、次の手順があります。

  • 証明機関でカスタム ワークステーション認証証明書テンプレートを作成して発行する

  • カスタム ワークステーション認証証明書を要求する

  • 配布ポイントのクライアント証明書をエクスポートする

証明機関でカスタム ワークステーション認証証明書テンプレートを作成して発行する

この手順では、秘密キーをエクスポートして証明機関に証明書テンプレートを追加できるように、Configuration Manager配布ポイント用のカスタム証明書テンプレートを作成します。

注:

この手順では、クライアント コンピューター用に作成した証明書テンプレートとは異なる証明書テンプレートを使用します。 両方の証明書にはクライアント認証機能が必要ですが、配布ポイントの証明書では秘密キーがエクスポートされている必要があります。 セキュリティのベスト プラクティスとして、この構成が必要でない限り秘密キーをエクスポートできるように証明書テンプレートを設定しないでください。 配布ポイントでは、証明書ストアから証明書を選択するのではなく、ファイルとして証明書をインポートする必要があるため、この構成が必要です。

この証明書の新しい証明書テンプレートを作成するときに、秘密キーをエクスポートできる証明書を要求できるコンピューターを制限できます。 この展開例では、IIS を実行するサイト システム サーバー用に以前に作成Configuration Managerセキュリティ グループです。 IIS サイト システムの役割を分散する運用ネットワークでは、配布ポイントを実行するサーバーの新しいセキュリティ グループを作成して、証明書をこれらのサイト システム サーバーのみに制限することを検討してください。 また、この証明書に対して次の変更を追加することも検討してください。

  • 追加のセキュリティのために証明書をインストールするには、承認が必要です。
    • 証明書の有効期間を長くします。 有効期限が切れる前に証明書をエクスポートしてインポートする必要があるため、有効期間を長くすると、この手順を繰り返す頻度が減ります。 ただし、有効期間を長くすると、攻撃者が秘密キーを解読して証明書を盗む時間が長くなるため、証明書のセキュリティも低下します。
    • 証明書の [サブジェクト] フィールドまたはサブジェクト代替名 (SAN) のカスタム値を使用して、標準クライアント証明書からこの証明書を識別します。 これは、複数の配布ポイントに同じ証明書を使用する場合に特に役立ちます。
証明機関でカスタム ワークステーション認証証明書テンプレートを作成して発行するには

  1. 証明機関コンソールを実行しているメンバー サーバーで、[ 証明書テンプレート] を右クリックし、[ 管理 ] を選択して証明書テンプレート管理コンソールを読み込みます。

  2. 結果ウィンドウで、[テンプレートの表示名] 列でワークステーション認証を持つエントリを右クリックし、[テンプレートの複製] を選択します。

  3. [テンプレートの複製] ダイアログ ボックスで、Windows 2003 Server Enterprise Editionが選択されていることを確認し、[OK] を選択します

    重要

    [Windows 2008 Server,Enterprise Edition] を選択しないでください。

  4. [ 新しいテンプレートのプロパティ ] ダイアログ ボックスの [ 全般 ] タブで、 ConfigMgr クライアント配布ポイント証明書などのテンプレート名を入力して、配布ポイントのクライアント認証証明書を生成します。

  5. [ 要求処理 ] タブを選択し、[ 秘密キーのエクスポートを許可する] を選択します。

  6. [セキュリティ] タブを選択し、Enterprise Admins セキュリティ グループから [登録] アクセス許可を削除します。

  7. [ 追加] を選択し、テキスト ボックスに 「ConfigMgr IIS サーバー 」と入力し、[ OK] を選択します

  8. このグループの [登録] アクセス許可を選択し、[ 読み取り ] アクセス許可をオフにしないでください。

  9. [ OK] を選択し、 証明書テンプレート コンソールを閉じます。

  10. 証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。

  11. [ 証明書テンプレートの有効化 ] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr クライアント配布ポイント証明書] を選択し、[ OK] を選択します

  12. 証明書を作成して発行する必要がない場合は、 証明機関を閉じます。

カスタム ワークステーション認証証明書を要求する

この手順では、IIS を実行し、配布ポイントとして設定されるメンバー サーバーにカスタム クライアント証明書を要求してインストールします。

カスタム ワークステーション認証証明書を要求するには

  1. [ スタート] を選択し、[ 実行] を選択し、「mmc.exe」と入力します 空のコンソールで、[ ファイル] を選択し、[ スナップインの追加と削除] を選択します。

  2. [スナップインの追加と削除] ダイアログ ボックスで、[使用可能なスナップイン] の一覧から [証明書] を選択し、[追加] を選択します。

  3. [ 証明書スナップイン ] ダイアログ ボックスで、[ コンピューター アカウント] を選択し、[ 次へ] を選択します。

  4. [ コンピューターの選択 ] ダイアログ ボックスで、[ ローカル コンピューター: (このコンソールが実行されているコンピューター)] が 選択されていることを確認し、[完了] を選択 します

  5. [ スナップインの追加と削除 ] ダイアログ ボックスで、[OK] を選択します

  6. コンソールで、[ 証明書 (ローカル コンピューター)] を展開し、[ 個人用] を選択します。

  7. [証明書] を右クリックし、[すべてのタスク] を選択し、[新しい証明書の要求] を選択します。

  8. [ 作業を開始する前 に] ページで、[ 次へ] を選択します。

  9. [証明書登録ポリシーの選択] ページが表示されたら、[次へ] を選択します。

  10. [ 証明書の要求 ] ページで、使用可能な証明書の一覧から [ConfigMgr クライアント配布ポイント証明書 ] を選択し、[登録] を選択 します

  11. [ 証明書のインストール結果 ] ページで、証明書がインストールされるまで待ってから、[完了] を選択 します

  12. 結果ウィンドウで、証明書に [目的] 列に [クライアント認証] があり、ConfigMgr クライアント配布ポイント証明書[証明書テンプレート] 列にあることを確認します。

  13. 証明書 (ローカル コンピューター) を閉じないでください。

配布ポイントのクライアント証明書をエクスポートする

この手順では、カスタム ワークステーション認証証明書をファイルにエクスポートして、配布ポイントのプロパティにインポートできるようにします。

配布ポイントのクライアント証明書をエクスポートするには

  1. [証明書 (ローカル コンピューター)] コンソールで、インストールした証明書を右クリックし、[すべてのタスク] を選択して、[エクスポート] を選択します

  2. 証明書のエクスポート ウィザードで、[ 次へ] を選択します。

  3. [ 秘密キーのエクスポート ] ページで、[はい] を選択し 、秘密キーをエクスポートして、[ 次へ] を選択します。

    注:

    このオプションを使用できない場合は、秘密キーをエクスポートするオプションなしで証明書が作成されています。 このシナリオでは、必要な形式で証明書をエクスポートすることはできません。 秘密キーをエクスポートし、証明書をもう一度要求できるように、証明書テンプレートを設定する必要があります。

  4. [ ファイル形式のエクスポート] ページで、 個人情報 Exchange - PKCS #12 (.PFX) オプションが選択されています。

  5. [ パスワード ] ページで、エクスポートされた証明書を秘密キーで保護する強力なパスワードを指定し、[ 次へ] を選択します。

  6. [ エクスポートするファイル ] ページで、エクスポートするファイルの名前を指定し、[ 次へ] を選択します。

  7. ウィザードを閉じるには、[証明書のエクスポート ウィザード] ページで [完了] を選択し、確認ダイアログ ボックスで [OK] を選択します

  8. 証明書 (ローカル コンピューター) を閉じます。

  9. ファイルを安全に保存し、Configuration Manager コンソールからアクセスできることを確認します。

    配布ポイントを設定するときに、証明書をインポートする準備ができました。

ヒント

PXE ブートを使用しないオペレーティング システムの展開用にメディア イメージを設定するときに、同じ証明書ファイルを使用できます。また、イメージをインストールするタスク シーケンスは、HTTPS クライアント接続を必要とする管理ポイントに接続する必要があります。

モバイル デバイスの登録証明書をデプロイする

この証明書の展開には、証明機関で登録証明書テンプレートを作成して発行する 1 つの手順があります。

証明機関で登録証明書テンプレートを作成して発行する

この手順では、Configuration Managerモバイル デバイス用の登録証明書テンプレートを作成し、証明機関に追加します。

証明機関で登録証明書テンプレートを作成して発行するには

  1. モバイル デバイスをConfiguration Managerに登録するユーザーを含むセキュリティ グループを作成します。

  2. Certificate Services がインストールされているメンバー サーバーの証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 管理 ] を選択して証明書テンプレート管理コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレートの表示名] 列で Authenticated Session を持つエントリを右クリックし、[テンプレートの複製] を選択します。

  4. [テンプレートの複製] ダイアログ ボックスで、Windows 2003 Server Enterprise Editionが選択されていることを確認し、[OK] を選択します

    重要

    [Windows 2008 Server,Enterprise Edition] を選択しないでください。

  5. [新しいテンプレートのプロパティ] ダイアログ ボックスの [全般] タブで、ConfigMgr モバイル デバイス登録証明書などのテンプレート名を入力して、Configuration Managerで管理するモバイル デバイスの登録証明書を生成します。

  6. [サブジェクト名] タブを選択し、[この Active Directory 情報からビルドする] が選択されていることを確認し、[サブジェクト名] 形式[共通名] を選択し、[代替サブジェクト名にこの情報を含める] から [ユーザー プリンシパル名 (UPN)] をオフにします。

  7. [ セキュリティ ] タブを選択し、登録するモバイル デバイスを持つユーザーを持つセキュリティ グループを選択し、[登録] の追加のアクセス許可を選択 します[読み取り] をオフにしないでください。

  8. [ OK] を選択し、 証明書テンプレート コンソールを閉じます。

  9. 証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。

  10. [ 証明書テンプレートの有効化 ] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr Mobile Device Enrollment Certificate] を選択し、[ OK] を選択します

  11. 証明書を作成して発行する必要がない場合は、証明機関コンソールを閉じます。

    クライアント設定でモバイル デバイス登録プロファイルを設定するときに、モバイル デバイス登録証明書テンプレートを選択する準備ができました。

Mac コンピューター用のクライアント証明書を展開する

この証明書の展開には、証明機関で登録証明書テンプレートを作成して発行する 1 つの手順があります。

証明機関で Mac クライアント証明書テンプレートを作成して発行する

この手順では、Configuration Manager Mac コンピューター用のカスタム証明書テンプレートを作成し、証明機関に証明書テンプレートを追加します。

注:

この手順では、Windows クライアント コンピューターまたは配布ポイント用に作成した証明書テンプレートとは異なる証明書テンプレートを使用します。

この証明書の新しい証明書テンプレートを作成するときに、承認されたユーザーに証明書要求を制限できます。

証明機関で Mac クライアント証明書テンプレートを作成して発行するには

  1. Configuration Managerを使用して Mac コンピューターに証明書を登録する管理者ユーザーのユーザー アカウントを持つセキュリティ グループを作成します。

  2. 証明機関コンソールを実行しているメンバー サーバーで、[ 証明書テンプレート] を右クリックし、[ 管理 ] を選択して証明書テンプレート管理コンソールを読み込みます。

  3. 結果ウィンドウで、[テンプレートの表示名] 列に認証セッションを表示するエントリを右クリックし、[テンプレートの複製] を選択します。

  4. [テンプレートの複製] ダイアログ ボックスで、Windows 2003 Server Enterprise Editionが選択されていることを確認し、[OK] を選択します

    重要

    [Windows 2008 Server,Enterprise Edition] を選択しないでください。

  5. [ 新しいテンプレートのプロパティ ] ダイアログ ボックスの [ 全般 ] タブで、 ConfigMgr Mac クライアント証明書などのテンプレート名を入力して、Mac クライアント証明書を生成します。

  6. [サブジェクト名] タブを選択し、[この Active Directory 情報からビルドする] が選択されていることを確認し、[サブジェクト名] 形式[共通名] を選択し、[代替サブジェクト名にこの情報を含める] から [ユーザー プリンシパル名 (UPN)] をオフにします。

  7. [セキュリティ] タブを選択し、Domain Admins および Enterprise Admins セキュリティ グループから [登録] アクセス許可を削除します。

  8. [ 追加] を選択し、手順 1 で作成したセキュリティ グループを指定し、[OK] を選択 します

  9. このグループの [登録 ] アクセス許可を選択し、[ 読み取り ] アクセス許可をオフにしないでください。

  10. [ OK] を選択し、 証明書テンプレート コンソールを閉じます。

  11. 証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。

  12. [ 証明書テンプレートの有効化 ] ダイアログ ボックスで、先ほど作成した新しいテンプレート [ConfigMgr Mac クライアント証明書] を選択し、[ OK] を選択します

  13. 証明書を作成して発行する必要がない場合は、 証明機関を閉じます。

    登録用のクライアント設定を設定するときに、Mac クライアント証明書テンプレートを選択する準備ができました。