オンプレミス MDM との信頼された通信用の証明書を設定する
Configuration Manager (現在のブランチ) に適用
オンプレミス モバイル デバイス管理 (MDM) Configuration Managerには、マネージド デバイスとの信頼された通信用にサイト システムの役割を構成する必要があります。 次の 2 種類の証明書が必要です。
必要なサイト システムの役割をホストしているサーバー上の IIS の Web サーバー証明書 。 1 つのサーバーが複数のサイト システムの役割をホストする場合、そのサーバーに必要な証明書は 1 つだけです。 各ロールが個別のサーバー上にある場合、各サーバーには個別の証明書が必要です。
Web サーバー証明書を発行する証明機関 (CA) の 信頼されたルート 証明書。 サイト システムの役割に接続する必要があるすべてのデバイスに、このルート証明書をインストールします。
ドメインに参加しているデバイスの場合、Active Directory Certificate Services を使用すると、すべてのデバイスにこれらの証明書を自動的にインストールできます。 ドメインに参加していないデバイスの場合は、他の方法で信頼されたルート証明書をインストールします。
一括登録されたデバイスの場合は、登録パッケージに証明書を含めることができます。 ユーザー登録デバイスの場合は、電子メール、Web ダウンロード、またはその他の方法で証明書を追加する必要があります。
パブリックでグローバルに信頼された証明書プロバイダーを使用してサーバー証明書を発行する場合は、各デバイスに信頼されたルート証明書を手動でインストールする必要がなくなります。 ほとんどのデバイスは、これらの公共機関をネイティブに信頼します。 この方法は、他の方法で証明書をインストールする代わりに、ユーザー登録デバイスに便利な代替手段です。
重要
デバイス間の信頼された通信用の証明書と、オンプレミス MDM 用のサイト システム サーバーを設定するには、さまざまな方法があります。 この記事の情報は、それを行う 1 つの方法の例です。 この方法では、証明機関と証明機関の Web 登録ロールを持つ Active Directory Certificate Services が必要です。 詳細については、「Active Directory 証明書サービス」を参照してください。
CRL を発行する
既定では、Active Directory 証明機関 (CA) は LDAP ベースの証明書失効リスト (CRL) を使用します。 これにより、ドメインに参加しているデバイスの CRL への接続が許可されます。 ドメインに参加していないデバイスが CA から発行された証明書を信頼できるようにするには、HTTP ベースの CRL を追加します。
サイトの証明機関を実行しているサーバーで、[ スタート ] メニューの [ 管理ツール] を選択し、[ 証明機関] を選択します。
証明機関コンソールで、[ CertificateAuthority] を右クリックし、[プロパティ] を選択 します。
CertificateAuthority プロパティで、[ 拡張機能 ] タブに切り替えます。 [拡張機能の選択] が CRL 配布ポイント (CDP) に設定されていることを確認します。
を選択します
http://<ServerDNSName>/CertEnroll/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl
。 次に、次のオプションを選択します。CRL に含めます。 クライアントはこれを使用して Delta CRL の場所を検索します。
発行された証明書の CDP 拡張機能に含めます。
発行された CRL の IDP 拡張機能に含める
[モジュールの 終了 ] タブに切り替えます。[ プロパティ] を選択し、[ 証明書をファイル システムに発行することを許可する] を選択します。 Active Directory 証明書サービスを再起動する通知が表示されます。
[失効した証明書] を右クリックし、[すべてのタスク] を選択し、[発行] を選択します。
[CRL の発行] ウィンドウで、[ Delta CRL のみ] を選択し、[ OK] を 選択してウィンドウを閉じます。
証明書テンプレートを作成する
CA は、Web サーバー証明書テンプレートを使用して、サイト システムの役割をホストしているサーバーの証明書を発行します。 これらのサーバーは、サイト システムの役割と登録済みデバイス間の信頼された通信の SSL エンドポイントになります。
ConfigMgr MDM サーバーという名前のドメイン セキュリティ グループを作成します。 サイト システム サーバーのコンピューター アカウントをグループに追加します。
証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[管理] を選択 します。 このアクションにより、証明書テンプレート コンソールが読み込まれます。
結果ウィンドウで、[テンプレートの表示名] 列に Web サーバーを表示するエントリを右クリックし、[テンプレートの複製] を選択します。
[テンプレートの複製] ウィンドウで、[Windows 2003 Server]、[Enterprise Edition]、[Windows 2008 Server]、[Enterprise Edition] の順に選択し、[OK] を選択します。
ヒント
Configuration Managerでは、Windows 2008 Server 証明書テンプレート (V3 または暗号化: 次世代 (CNG) 証明書とも呼ばれます) がサポートされています。 詳細については、「 CNG v3 証明書の概要」を参照してください。
CA が Windows Server 2012 以降で実行されている場合、このウィンドウには証明書テンプレートのバージョンのオプションは表示されません。 テンプレートを複製した後、テンプレート プロパティの [ 互換性 ] タブでバージョンを選択します。
[ 新しいテンプレートのプロパティ ] ウィンドウの [ 全般 ] タブで、テンプレート名を入力します。 CA はこの名前を使用して、Configuration Manager サイト システムで使用される Web 証明書を生成します。 たとえば、「 ConfigMgr MDM Web サーバー」と入力します。
[サブジェクト名] タブに切り替え、[Active Directory 情報からビルド] を選択します。 サブジェクト名の形式には、 DNS 名を指定します。 [ユーザー プリンシパル名 (UPN)] が選択されている場合は、代替サブジェクト名のオプションを無効にします。
[ セキュリティ ] タブに切り替えます。
Domain Admins および Enterprise Admins セキュリティ グループから [登録] アクセス許可を削除します。
[ 追加] を選択し、セキュリティ グループの名前を入力します。 たとえば、 ConfigMgr MDM サーバーなどです。 [ OK] を選択 してウィンドウを閉じます。
このグループの [登録] アクセス許可を選択します。 読み取りアクセス許可は削除しないでください。
[ OK] を 選択して変更を保存し、証明書テンプレート コンソールを閉じます。
証明機関コンソールで、[ 証明書テンプレート] を右クリックし、[ 新規] を選択し、[ 発行する証明書テンプレート] を選択します。
[ 証明書テンプレートの有効化] ウィンドウで 、新しいテンプレートを選択します。 たとえば、 ConfigMgr MDM Web サーバーなどです。 次に、[ OK] を 選択してウィンドウを保存して閉じます。
証明書を要求する
このプロセスでは、IIS の Web サーバー証明書を要求する方法について説明します。 オンプレミス MDM の役割の 1 つをホストするサイト システム サーバーごとに、このプロセスを実行します。
いずれかの役割をホストするサイト システム サーバーで、管理者としてコマンド プロンプトを開きます。 と入力
mmc
して、空のMicrosoft管理コンソールを開きます。コンソール ウィンドウで、[ ファイル ] メニューに移動し、[スナップインの 追加と削除] を選択します。
使用可能なスナップインの一覧から [証明書 ] を選択し、[ 追加] を選択します。
[証明書] スナップイン ウィンドウで、[ コンピューター アカウント] を選択します。 [ 次へ] を選択し、[完了] を選択してローカル コンピューターを管理 します 。
[ OK] を 選択して、[スナップインの追加と削除] ウィンドウを終了します。
[ 証明書 (ローカル コンピューター)] を展開し、 個人用 ストアを選択します。 [アクション] メニューに移動し、[すべてのタスク] を選択し、[新しい証明書の要求] を選択します。 このアクションは、Active Directory Certificate Services と通信し、前に作成したテンプレートを使用して新しい証明書を作成します。
証明書登録ウィザードの [開始前] ページで、[ 次へ] を選択します。
[証明書登録ポリシーの選択] ページ で、[Active Directory 登録ポリシー] を選択し、[ 次へ] を選択します。
Web サーバー証明書テンプレート (ConfigMgr MDM Web サーバー) を選択し、[ 登録] を選択します。
証明書を要求したら、[完了] を選択 します。
各サーバーには、一意の Web サーバー証明書が必要です。 必要なサイト システムの役割のいずれかをホストするすべてのサーバーに対して、このプロセスを繰り返します。 1 つのサーバーですべてのサイト システムの役割をホストする場合は、1 つの Web サーバー証明書を要求するだけで済みます。
証明書をバインドする
次の手順では、新しい証明書を Web サーバーにバインドします。 登録ポイントと登録プロキシ ポイントサイト システムの役割をホストする各サーバーについて、このプロセスに従います。 1 つのサーバーですべてのサイト システムの役割をホストする場合は、このプロセスを 1 回だけ実行する必要があります。
注:
配布ポイントとデバイス管理ポイントサイト システムの役割に対してこのプロセスを実行する必要はありません。 登録中に必要な証明書が自動的に受信されます。
登録ポイントまたは登録プロキシ ポイントをホストしているサーバーで、[ スタート ] メニューの [ 管理ツール] を選択し、[ IIS マネージャー] を選択します。
[接続] の一覧で、[ 既定の Web サイト] を選択し、[ バインドの編集] を選択します。
[サイト バインド] ウィンドウで [ https] を選択し、[編集] を選択 します。
[サイト バインドの編集] ウィンドウで、SSL 証明書の新しく登録された 証明書を選択します。 [ OK] を選択 して保存し、[ 閉じる] を選択します。
IIS マネージャー コンソールの [接続] の一覧で、Web サーバーを選択します。 右側の [アクション] パネルで、[再起動] を選択 します。 このアクションにより、Web サーバー サービスが再起動されます。
信頼されたルート証明書をエクスポートする
Active Directory Certificate Services は、ドメインに参加しているすべてのデバイスに CA から必要な証明書を自動的にインストールします。 ドメインに参加していないデバイスがサイト システムの役割と通信するために必要な証明書を取得するには、Web サーバーにバインドされた証明書から証明書をエクスポートします。
IIS マネージャーで、既定の Web サイトを選択します。 右側の [アクション] パネルで、[バインド] を選択 します。
[サイト バインド] ウィンドウで [ https] を選択し、[ 編集] を選択します。
Web サーバー証明書を選択し、[表示] を選択 します。
Web サーバー証明書のプロパティで、[ 認定パス ] タブに切り替えます。認定パスのルートを選択し、[証明書の 表示] を選択します。
ルート証明書のプロパティで、[ 詳細 ] タブに切り替えて、[ ファイルにコピー] を選択します。
証明書のエクスポート ウィザードの [ようこそ] ページで、[ 次へ] を選択します。
[DER でエンコードされたバイナリ X.509 (] を選択します。CER) を形式として選択し、[次へ] を選択します。
この信頼されたルート証明書を識別するパスとファイル名を入力します。 ファイル名として [ 参照...] をクリックし、証明書ファイルを保存する場所を選択し、ファイルに名前を付けて、[ 次へ] を選択します。
設定を確認し、[ 完了] を選択して証明書をファイルにエクスポートします。
証明機関の設計によっては、追加の下位 CA ルート証明書をエクスポートする必要がある場合があります。 このプロセスを繰り返して、Web サーバー証明書の認定パス内の他の証明書をエクスポートします。