Configuration Managerの PKI 証明書の要件

Configuration Manager (現在のブランチ) に適用

Configuration Managerに必要な公開キー 基盤 (PKI) 証明書を次の表に示します。 この情報は、PKI 証明書の基本的な知識を前提としています。

任意の PKI を使用して、Configuration Managerでほとんどの証明書を作成、展開、管理できます。 モバイル デバイスと Mac コンピューターに登録Configuration Managerクライアント証明書の場合は、Active Directory 証明書サービスを使用する必要があります。

Active Directory 証明書サービスと証明書テンプレートを使用する場合、この Microsoft PKI ソリューションを使用すると、証明書の管理を容易にすることができます。 以下のセクションの Microsoft 証明書テンプレート リファレンスを使用して、証明書の要件に最も近い証明書テンプレートを特定します。 テンプレート ベースの証明書を使用できるのは、Windows サーバーの Enterprise エディションまたは Datacenter エディションで実行されるエンタープライズ証明機関 (CA) のみです。

詳細については、次の記事を参照してください。

サポートされている証明書の種類

セキュリティで保護されたハッシュ アルゴリズム 2 (SHA-2) 証明書

SHA-256 と SHA-512 を含む SHA-2 で署名された新しいサーバーおよびクライアント認証証明書を発行します。 インターネットに接続するすべてのサービスでは、SHA-2 証明書を使用する必要があります。 たとえば、クラウド管理ゲートウェイで使用するためにパブリック証明書を購入する場合は、必ず SHA-2 証明書を購入してください。

Windows では、SHA-1 で署名された証明書は信頼されません。 詳細については、「 Windows の SHA1 証明書の適用」を参照してください。

CNG v3 証明書

Configuration Managerでは、暗号化: 次世代 (CNG) v3 証明書がサポートされています。 Configuration Managerクライアントは、CNG キー ストレージ プロバイダー (KSP) で秘密キーを持つ PKI クライアント認証証明書を使用できます。 KSP サポートでは、Configuration Manager クライアントは、PKI クライアント認証証明書の TPM KSP などのハードウェア ベースの秘密キーをサポートします。

詳細については、「 CNG v3 証明書の概要」を参照してください。

サーバーの PKI 証明書

IIS を実行し、HTTPS クライアント接続をサポートするサイト システム

この Web サーバー証明書は、次の用途に使用されます。

  • クライアントに対するサーバーの認証
  • クライアントとこれらのサーバー間で転送されるすべてのデータを TLS で暗号化します。

適用対象:

  • 管理ポイント
  • 配布ポイント
  • ソフトウェアの更新ポイント
  • 状態移行ポイント
  • 登録ポイント
  • 登録プロキシ ポイント
  • 証明書登録ポイント

証明書の要件:

  • 証明書の目的: サーバー認証

  • Microsoft 証明書テンプレート: Web サーバー

  • 拡張キー使用法の値には、Server Authentication (1.3.6.1.5.5.7.3.1)

  • サブジェクト名:

    • サイト システムがインターネットからの接続を受け入れる場合は、 サブジェクト名 または サブジェクトの別名 にインターネット完全修飾ドメイン名 (FQDN) が含まれている必要があります。

    • サイト システムがイントラネットからの接続を受け入れる場合、サイト システムの設定方法に応じて、[ サブジェクト名 ] または [ サブジェクトの別名 ] にイントラネット FQDN (推奨) またはコンピューター名を含める必要があります。

    • サイト システムがインターネットとイントラネットの両方からの接続を受け入れる場合は、インターネット FQDN とイントラネット FQDN (またはコンピューター名) の両方を指定する必要があります。 2 つの名前の間にアンパサンド (&) 記号区切り記号を使用します。

    注:

    ソフトウェアの更新ポイントがインターネットからのクライアント接続のみを受け入れる場合、証明書にはインターネット FQDN とイントラネット FQDN の両方が含まれている必要があります。

  • キーの長さ: Configuration Managerでは、この証明書でサポートされる最大キー長は指定されていません。 この証明書のキー サイズに関連する問題については、PKI と IIS のドキュメントを参照してください。

ほとんどのサイト システムの役割では、証明書秘密キー (v3) のキー ストレージ プロバイダーがサポートされています。 詳細については、「 CNG v3 証明書の概要」を参照してください。

この証明書は、コンピューター証明書ストアの個人用ストアに存在する必要があります。

クラウド管理ゲートウェイ (CMG)

このサービス証明書は、次の用途に使用されます。

  • クライアントに対して Azure で CMG サービスを認証Configuration Manager

  • TLS を使用して、それらの間で転送されるすべてのデータを暗号化します。

この証明書を公開キー証明書標準 (PKCS #12) 形式でエクスポートします。 CMG を作成するときに証明書をインポートできるように、パスワードを知る必要があります。

証明書の要件:

  • 証明書の目的: サーバー認証

  • Microsoft 証明書テンプレート: Web サーバー

  • 拡張キー使用法の値には、Server Authentication (1.3.6.1.5.5.7.3.1)

  • サブジェクト名には、クラウド管理ゲートウェイの特定のインスタンスの共通名として、顧客定義のサービス名が含まれている必要があります。

  • 秘密キーはエクスポート可能である必要があります。

  • サポートされるキー長: 2048 ビットまたは 4096 ビット

この証明書は、証明書秘密キー (v3) のキー ストレージ プロバイダーをサポートします。

詳細については、「 CMG サーバー認証証明書」を参照してください。

Microsoft SQL Serverを実行するサイト システム サーバー

この証明書は、サーバー間認証に使用されます。

証明書の要件:

  • 証明書の目的: サーバー認証

  • Microsoft 証明書テンプレート: Web サーバー

  • 拡張キー使用法の値には、Server Authentication (1.3.6.1.5.5.7.3.1)

  • サブジェクト名には、イントラネット完全修飾ドメイン名 (FQDN) が含まれている必要があります。

  • サポートされる最大キー長は 2,048 ビットです。

この証明書は、コンピューター証明書ストアの個人用ストアに存在する必要があります。 Configuration Managerは、サーバーとの信頼を確立する必要がある可能性があるConfiguration Manager階層内のサーバーの信頼されたPeople ストアに自動的にコピーします。

フェールオーバー クラスター インスタンスのSQL Server Always On

この証明書は、サーバー間認証に使用されます。

証明書の要件:

  • 証明書の目的: サーバー認証

  • Microsoft 証明書テンプレート: Web サーバー

  • 拡張キー使用法の値には、Server Authentication (1.3.6.1.5.5.7.3.1)

  • サブジェクト名には、クラスターのイントラネット完全修飾ドメイン名 (FQDN) が含まれている必要があります

  • 秘密キーはエクスポート可能である必要があります

  • フェールオーバー クラスター インスタンスを使用するようにConfiguration Managerを構成する場合、証明書の有効期間は少なくとも 2 年である必要があります

  • サポートされる最大キー長は 2,048 ビットです。

クラスター内の 1 つのノードにこの証明書を要求してインストールします。 次に、証明書をエクスポートし、他のノードにインポートします。

この証明書は、コンピューター証明書ストアの個人用ストアに存在する必要があります。 Configuration Managerは、サーバーとの信頼を確立する必要がある可能性があるConfiguration Manager階層内のサーバーの信頼されたPeople ストアに自動的にコピーします。

サイト システムの監視

適用対象:

  • 管理ポイント
  • 状態移行ポイント

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート: ワークステーション認証

  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • コンピューターは、[ サブジェクト名] フィールドまたは [ サブジェクトの別名 ] フィールドで一意の値を持っている必要があります。

    注:

    サブジェクトの別名に複数の値を使用する場合、最初の値のみが使用されます。

  • サポートされる最大キー長は 2,048 ビットです。

この証明書は、Configuration Manager クライアントがインストールされていない場合でも、一覧表示されているサイト システム サーバーで必要です。 この構成により、サイトは、これらのサイト システムの役割の正常性を監視およびレポートできます。

これらのサイト システムの証明書は、コンピューター証明書ストアの個人用ストアに存在する必要があります。

ネットワーク デバイス登録サービス (NDES) ロール サービスでConfiguration Manager ポリシー モジュールを実行しているサーバー

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート: ワークステーション認証

  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • 証明書の サブジェクト名 または サブジェクトの別名 (SAN) に関する特定の要件はありません。 ネットワーク デバイス登録サービスを実行している複数のサーバーで同じ証明書を使用できます。

  • サポートされるキー長: 1,024 ビットと 2,048 ビット。

配布ポイントがインストールされているサイト システム

この証明書には、次の 2 つの目的があります。

  • 配布ポイントがステータス メッセージを送信する前に、HTTPS 対応管理ポイントに対して配布ポイントを認証します。

    注:

    HTTPS のすべての管理ポイントを構成する場合、HTTPS が有効な配布ポイントで PKI が発行された証明書を使用する必要があります。 管理ポイントで証明書を使用する場合は、配布ポイントで自己署名証明書を使用しないでください。 それ以外の場合は、問題が発生する可能性があります。 たとえば、配布ポイントは状態メッセージを送信しません。

  • PXE 対応配布ポイントは、この証明書をコンピューターに送信します。 タスク シーケンスにクライアント ポリシーの取得やインベントリ情報の送信などのクライアント アクションが含まれている場合、コンピューターは OS 展開プロセス中に HTTPS 対応の管理ポイントに接続できます。

    注:

    この PXE シナリオでは、この証明書は OS 展開プロセス中にのみ使用されます。 クライアントにインストールされていません。 この一時的な使用により、複数のクライアント証明書を使用しない場合は、OS 展開ごとに同じ証明書を使用できます。

    この証明書の要件は、タスク シーケンス メディアのクライアント証明書と同じです。 要件は同じであるため、同じ証明書ファイルを使用できます。

    HTTPS 対応配布ポイントに指定する証明書は、OS の展開だけでなく、すべてのコンテンツ配布操作に適用されます。

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート: ワークステーション認証

  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • 証明書の サブジェクト名 または サブジェクトの別名 (SAN) に関する特定の要件はありません。 配布ポイントごとに異なる証明書を使用することをお勧めしますが、同じ証明書を使用できます。

  • 秘密キーはエクスポート可能である必要があります。

  • サポートされる最大キー長は 2,048 ビットです。

この証明書を公開キー証明書標準 (PKCS #12) 形式でエクスポートします。 証明書を配布ポイントのプロパティにインポートできるように、パスワードを知る必要があります。

インターネット ベースのクライアント管理用のプロキシ Web サーバー

サイトがインターネット ベースのクライアント管理をサポートしていて、受信インターネット接続に SSL 終了 (ブリッジング) を使用してプロキシ Web サーバーを使用する場合、プロキシ Web サーバーには次の証明書要件があります。

注:

SSL 終了 (トンネリング) なしでプロキシ Web サーバーを使用する場合、プロキシ Web サーバーに追加の証明書は必要ありません。

証明書の要件:

  • 証明書の目的: サーバー認証クライアント認証

  • Microsoft 証明書テンプレート: Web サーバーワークステーション認証

  • [サブジェクト名] または [サブジェクトの別名] フィールドのインターネット FQDN。 Microsoft 証明書テンプレートを使用する場合、 サブジェクトの別名 はワークステーション テンプレートでのみ使用できます。

この証明書は、インターネット クライアントに対して次のサーバーを認証し、クライアントとこのサーバー間で転送されるすべてのデータを TLS で暗号化するために使用されます。

  • インターネット ベースの管理ポイント
  • インターネット ベースの配布ポイント
  • インターネット ベースのソフトウェアの更新ポイント

クライアント認証は、Configuration Manager クライアントとインターネット ベースのサイト システム間のクライアント接続をブリッジするために使用されます。

クライアントの PKI 証明書

Windows クライアント コンピューター

ソフトウェアの更新ポイントを除き、この証明書は、IIS を実行し、HTTPS クライアント接続をサポートするサイト システムに対してクライアントを認証します。

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート: ワークステーション認証

  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • [Key Usage]\(キー使用法\) の値には、Digital Signature, Key Encipherment (a0)

  • クライアント コンピューターの [サブジェクト名] フィールドまたは [ サブジェクトの別名 ] フィールドに一意の値が必要です。 使用する場合は、代替の証明書の選択条件が指定されていない限り、[ サブジェクト名 ] フィールドにローカル コンピューター名を含む必要があります。 詳細については、「 PKI クライアント証明書の選択を計画する」を参照してください。

    注:

    サブジェクトの別名に複数の値を使用する場合、最初の値のみが使用されます。

  • サポートされているキーの最大長はありません。

既定では、Configuration Managerはコンピューター証明書ストアの個人用ストアでコンピューター証明書を検索します。

オペレーティング システムを展開するためのタスク シーケンス メディア

この証明書は OSD タスク シーケンスで使用され、OS 展開プロセス中にコンピューターが HTTPS 対応の管理ポイントと配布ポイントに接続できるようにします。 管理ポイントと配布ポイントへの接続には、管理ポイントからのクライアント ポリシーの取得や配布ポイントからのコンテンツのダウンロードなどのアクションが含まれる場合があります。

この証明書は、OS 展開プロセス中にのみ使用されます。 Windows と ConfigMgr のセットアップ タスク中にクライアントがインストールされている場合や、デバイスにインストールされている場合は、クライアント インストール プロパティの一部として使用されません。 この一時的な使用により、複数のクライアント証明書を使用しない場合は、OS 展開ごとに同じ証明書を使用できます。

HTTPS 専用の環境がある場合、タスク シーケンス メディアには有効な証明書が必要です。 この証明書を使用すると、デバイスはサイトと通信し、デプロイを続行できます。 タスク シーケンスが完了すると、デバイスが Active Directory に参加すると、クライアントは GPO 経由で PKI 証明書を自動的に生成するか、別の方法を使用して PKI 証明書をインストールできます。

注:

この証明書の要件は、配布ポイントの役割を持つサイト システムのサーバー証明書と同じです。 要件は同じであるため、同じ証明書ファイルを使用できます。

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート: ワークステーション認証

  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • 証明書の サブジェクト名 または サブジェクト別名 (SAN) フィールドには、特定の要件はありません。 すべてのタスク シーケンス メディアに同じ証明書を使用できます。

  • 秘密キーはエクスポート可能である必要があります。

  • サポートされる最大キー長は 2,048 ビットです。

この証明書を公開キー証明書標準 (PKCS #12) 形式でエクスポートします。 タスク シーケンス メディアを作成するときに証明書をインポートできるように、パスワードを知る必要があります。

重要

ブート イメージには、サイトと通信するための PKI 証明書は含まれません。 代わりに、ブート イメージは、タスク シーケンス メディアに追加された PKI 証明書を使用してサイトと通信します。

タスク シーケンス メディアへの PKI 証明書の追加の詳細については、「 起動可能なメディアの作成 」と「 事前設定されたメディアの作成」を参照してください。

macOS クライアント コンピューター

この証明書は、通信するサイト システム サーバーに対して macOS クライアント コンピューターを認証します。 たとえば、管理ポイントと配布ポイントなどです。

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート:

    • Configuration Manager登録の場合: 認証済みセッション
    • Configuration Managerから独立した証明書のインストールの場合: ワークステーション認証
  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • サブジェクト名:

    • ユーザー証明書を作成するConfiguration Managerの場合、証明書の [サブジェクト] の値に macOS コンピューターを登録したユーザーのユーザー名が自動的に入力されます。
    • Configuration Manager登録を使用しないが、Configuration Managerとは別にコンピューター証明書を展開する証明書のインストールでは、証明書のサブジェクト値は一意である必要があります。 たとえば、コンピューターの FQDN を指定します。
    • [サブジェクトの別名] フィールドはサポートされていません。
  • サポートされる最大キー長は 2,048 ビットです。

モバイル デバイス クライアント

この証明書は、通信するサイト システム サーバーに対してモバイル デバイス クライアントを認証します。 たとえば、管理ポイントと配布ポイントなどです。

証明書の要件:

  • 証明書の目的: クライアント認証

  • Microsoft 証明書テンプレート: 認証済みセッション

  • 拡張キー使用法の値には、Client Authentication (1.3.6.1.5.5.7.3.2)

  • サポートされる最大キー長は 2,048 ビットです。

これらの証明書は、Distinguished Encoding Rules (DER) でエンコードされたバイナリ X.509 形式である必要があります。 Base64 でエンコードされた X.509 形式はサポートされていません。

ルート証明機関 (CA) 証明書

この証明書は、標準のルート CA 証明書です。

適用対象:

  • OS の展開
  • クライアント証明書の認証
  • モバイル デバイス登録

証明書の目的: 信頼できるソースへの証明書チェーン

クライアントが通信サーバーの証明書を信頼できるソースにチェーンする必要がある場合は、ルート CA 証明書を指定する必要があります。 クライアント証明書が管理ポイント証明書を発行した CA 階層とは異なる CA 階層によって発行される場合は、クライアントのルート CA 証明書を指定する必要があります。