証明書インフラストラクチャの構成

Configuration Manager (現在のブランチ) に適用

重要

バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

Configuration Managerで証明書インフラストラクチャを構成する方法について説明します。 開始する前に、「 証明書プロファイルの前提条件」に記載されている前提条件を確認してください。

次の手順を使用して、SCEP または PFX 証明書のインフラストラクチャを構成します。

手順 1 - ネットワーク デバイス登録サービスと依存関係をインストールして構成する (SCEP 証明書の場合のみ)

Active Directory Certificate Services (AD CS) のネットワーク デバイス登録サービスロール サービスをインストールして構成し、証明書テンプレートのセキュリティ アクセス許可を変更し、公開キー インフラストラクチャ (PKI) クライアント認証証明書を展開し、レジストリを編集してインターネット インフォメーション サービス (IIS) の既定の URL サイズ制限を増やす必要があります。 必要に応じて、カスタム有効期間を許可するように発行元証明機関 (CA) も構成する必要があります。

重要

ネットワーク デバイス登録サービスと連携するようにConfiguration Managerを構成する前に、ネットワーク デバイス登録サービスのインストールと構成を確認します。 これらの依存関係が正しく動作しない場合は、Configuration Managerを使用して証明書の登録のトラブルシューティングが困難になります。

ネットワーク デバイス登録サービスと依存関係をインストールして構成するには

1. R2 Windows Server 2012実行されているサーバーで、Active Directory Certificate Services サーバー ロールのネットワーク デバイス登録サービスロール サービスをインストールして構成します。 詳細については、「 ネットワーク デバイス登録サービス ガイダンス」を参照してください。

2. 必要に応じて、ネットワーク デバイス登録サービスで使用されている証明書テンプレートのセキュリティ アクセス許可を確認し、必要に応じて変更します。

   • Configuration Manager コンソールを実行するアカウントの場合: 読み取りアクセス許可。

     このアクセス許可は、証明書プロファイルの作成ウィザードを実行するときに、SCEP 設定プロファイルの作成時に使用する証明書テンプレートを参照して選択できるようにするために必要です。 証明書テンプレートを選択すると、ウィザードの一部の設定が自動的に設定されるため、構成する必要が少なくなり、ネットワーク デバイス登録サービスで使用されている証明書テンプレートと互換性のない設定を選択するリスクが少なくなります。

   • ネットワーク デバイス登録サービス アプリケーション プールが使用する SCEP サービス アカウントの場合: 読み取りと登録のアクセス許可。

     この要件は、Configuration Managerに固有ではありませんが、ネットワーク デバイス登録サービスの構成の一部です。 詳細については、「 ネットワーク デバイス登録サービス ガイダンス」を参照してください。

   ヒント

   ネットワーク デバイス登録サービスで使用されている証明書テンプレートを特定するには、ネットワーク デバイス登録サービスを実行しているサーバーで次のレジストリ キーを表示します:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP。

   注:

   これらは、ほとんどの環境に適した既定のセキュリティ アクセス許可です。 ただし、代替のセキュリティ構成を使用できます。 詳細については、「 証明書プロファイルの証明書テンプレートのアクセス許可の計画」を参照してください。

3. クライアント認証をサポートする PKI 証明書をこのサーバーにデプロイします。 使用できるコンピューターに適切な証明書が既にインストールされている場合や、この目的のために証明書を展開する必要がある (または展開する) 必要がある場合があります。 この証明書の要件の詳細については、「Configuration Managerの PKI 証明書の要件」セクションの「ネットワーク デバイス登録サービスの役割サービスを使用してConfiguration Manager ポリシー モジュールを実行しているサーバー」の詳細Configuration Manager参照してください。

   ヒント

   この証明書の展開に関するヘルプが必要な場合は、「 配布ポイント用のクライアント証明書を展開する」の手順を使用できます。証明書の要件は 1 つの例外で同じであるためです。

   • 証明書テンプレートのプロパティの [要求処理] タブの [秘密キーのエクスポートを許可する] チェック ボックスをオンにしないでください。

     Configuration Manager ポリシー モジュールを構成するときにローカル コンピューター ストアを参照して選択できるため、秘密キーを使用してこの証明書をエクスポートする必要はありません。

4. クライアント認証証明書がチェーンするルート証明書を見つけます。 次に、このルート CA 証明書を証明書 (.cer) ファイルにエクスポートします。 後で証明書登録ポイントのサイト システム サーバーをインストールして構成するときに安全にアクセスできるセキュリティで保護された場所にこのファイルを保存します。

5. 同じサーバーで、レジストリ エディターを使用して、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parametersで次のレジストリ キー DWORD 値を設定することで、IIS の既定の URL サイズの制限を増やします。

   • MaxFieldLength キーを 65534 に設定します。

   • MaxRequestBytes キーを16777216 に設定します。

     詳細については、「Microsoft サポート記事 820129: Windows のレジストリ設定をHttp.sysする」を参照してください。

6. 同じサーバー上のインターネット インフォメーション サービス (IIS) マネージャーで、/certsrv/mscep アプリケーションの要求フィルター設定を変更してから、サーバーを再起動します。 [ 要求フィルター設定の編集 ] ダイアログ ボックスの [ 要求の制限 ] 設定は次のようになります。

   • 許可される最大コンテンツ長 (バイト数):30000000

   • 最大 URL 長 (バイト数): 65534

   • 最大クエリ文字列 (バイト数): 65534

     これらの設定と構成方法の詳細については、「 IIS 要求の制限」を参照してください。

7. 使用している証明書テンプレートよりも有効期間が低い証明書を要求できるようにする場合: この構成は、エンタープライズ CA では既定で無効になっています。 エンタープライズ CA でこのオプションを有効にするには、Certutil コマンド ライン ツールを使用し、次のコマンドを使用して証明書サービスを停止して再起動します。

   1. certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

   2. net stop certsvc

   3. net start certsvc

      詳細については、「 証明書サービスのツールと設定」を参照してください。

8. ネットワーク デバイス登録サービスが機能していることを確認するには、例として 次のリンクを使用します。 https://server.contoso.com/certsrv/mscep/mscep.dll 組み込みのネットワーク デバイス登録サービス Web ページが表示されます。 この Web ページでは、サービスについて説明し、ネットワーク デバイスが URL を使用して証明書要求を送信することを説明します。

   ネットワーク デバイス登録サービスと依存関係が構成されたので、証明書登録ポイントをインストールして構成する準備ができました。

手順 2 - 証明書登録ポイントをインストールして構成します。

Configuration Manager階層に少なくとも 1 つの証明書登録ポイントをインストールして構成する必要があります。このサイト システムの役割は、中央管理サイトまたはプライマリ サイトにインストールできます。

重要

証明書登録ポイントをインストールする前に、オペレーティング システム要件と証明書登録ポイントの依存関係については、「Configuration Managerのサポートされる構成」の「サイト システム要件」セクションを参照してください。

証明書登録ポイントをインストールして構成するには

1. Configuration Manager コンソールで、[管理] をクリックします。

2. [ 管理 ] ワークスペースで [ サイトの構成] を展開し、[ サーバーとサイト システムの役割] をクリックし、証明書登録ポイントに使用するサーバーを選択します。

3. [ ホーム ] タブの [ サーバー ] グループで、[ サイト システムの役割の追加] をクリックします。

4. [ 全般 ] ページで、サイト システムの全般設定を指定し、[ 次へ] をクリックします。

5. [ プロキシ ] ページで、[ 次へ] をクリックします。 証明書登録ポイントでは、インターネット プロキシ設定は使用されません。

6. [ システム ロールの選択] ページで、使用可能なロールの一覧から [証明書の登録ポイント ] を選択し、[ 次へ] をクリックします。

7. [ 証明書登録モード ] ページで、この証明書登録ポイントを [プロセス SCEP 証明書要求] にするか、 PFX 証明書要求を処理するかを選択します。 証明書登録ポイントは両方の種類の要求を処理できませんが、両方の種類の証明書を操作している場合は、複数の証明書登録ポイントを作成できます。

   PFX 証明書を処理する場合は、証明機関 (Microsoftまたは Entrust) を選択する必要があります。

8. [ 証明書登録ポイントの設定] ページは、証明書の種類によって異なります。

   • [ SCEP 証明書要求の処理] を選択した場合は、次の構成を行います。

     • 証明書登録ポイントの Web サイト名、HTTPS ポート番号、仮想アプリケーション名。 これらのフィールドには、既定値が自動的に入力されます。
     • ネットワーク デバイス登録サービスとルート CA 証明書の URL - [ 追加] をクリックし、[ URL とルート CA 証明書の追加 ] ダイアログ ボックスで、次のように指定します。
       • ネットワーク デバイス登録サービスの URL: https:// <server_FQDN>/certsrv/mscep/mscep.dllの形式で URL を指定します。 たとえば、ネットワーク デバイス登録サービスを実行しているサーバーの FQDN が server1.contoso.com されている場合は、「」と入力します https://server1.contoso.com/certsrv/mscep/mscep.dll。
       • ルート CA 証明書: 手順 1: ネットワーク デバイス登録サービスと依存関係をインストールして構成するで作成して保存した証明書 (.cer) ファイルを参照して選択します。 このルート CA 証明書を使用すると、証明書登録ポイントは、Configuration Manager ポリシー モジュールが使用するクライアント認証証明書を検証できます。

   • [ PFX 証明書要求の処理] を選択した場合は、選択した証明機関の接続の詳細と資格情報を構成します。

     • 証明機関としてMicrosoftを使用するには、[追加] をクリックし、[証明機関とアカウントの追加] ダイアログ ボックスで次のように指定します。

       • 証明機関サーバー名 - 証明機関サーバーの名前を入力します。

       • 証明機関アカウント - [ 設定 ] をクリックして選択するか、証明機関のテンプレートに登録するアクセス許可を持つアカウントを作成します。

       • 証明書登録ポイント接続アカウント - 証明書登録ポイントをConfiguration Manager データベースに接続するアカウントを選択または作成します。 変更を加えて、証明書登録ポイントをホストしているコンピューターのローカル コンピューター アカウントを使用できます。

       • Active Directory 証明書発行アカウント - アカウントを選択するか、Active Directory のユーザー オブジェクトに証明書を発行するために使用する新しいアカウントを作成します。

       • [ ネットワーク デバイスの登録とルート CA 証明書 ] ダイアログ ボックスの URL で、次のように指定し、[OK] をクリック します。

     • 証明機関として Entrust を使用するには、次のように指定します。

       • MDM Web サービス URL

       • URL のユーザー名とパスワードの資格情報。

         MDM API を使用して Entrust Web サービス URL を定義する場合は、次のサンプルに示すように、少なくともバージョン 9 の API を使用してください。

         https://entrust.contoso.com:19443/mdmws/services/AdminServiceV9

         以前のバージョンの API では、Entrust はサポートされていません。

9. [ 次へ ] をクリックし、ウィザードを完了します。

10. インストールが完了するまで数分待ってから、次のいずれかの方法を使用して証明書登録ポイントが正常にインストールされたことを確認します。

    • [ 監視 ] ワークスペースで、[ システムの状態] を展開し、[ コンポーネントの状態] をクリックし、 SMS_CERTIFICATE_REGISTRATION_POINT コンポーネントからステータス メッセージを探します。

    • サイト システム サーバーで、ConfigMgr インストール パス>\Logs\crpsetup.log ファイルと ConfigMgr インストール パス\Logs\crpmsi.log ファイルを使用<します。>< 正常にインストールされると、終了コード 0 が返されます。

    • ブラウザーを使用して、証明書登録ポイントの URL に接続できることを確認します。 たとえば、「 https://server1.contoso.com/CMCertificateRegistration 」のように入力します。 アプリケーション名の [サーバー エラー] ページが表示され、HTTP 404 の説明が表示されます。

11. プライマリ サイト サーバー コンピューターの次のフォルダーに証明書登録ポイントが自動的に作成されたルート CA のエクスポートされた証明書ファイルを見つけます。 <ConfigMgr インストール パス>\inboxes\certmgr.box。 このファイルは、後でネットワーク デバイス登録サービスを実行しているサーバーにConfiguration Manager ポリシー モジュールをインストールするときに安全にアクセスできるセキュリティで保護された場所に保存します。

    ヒント

    この証明書は、このフォルダーではすぐには使用できません。 ファイルをこの場所にコピー Configuration Manager前に、しばらく待つ (30 分など) 必要な場合があります。

手順 3 - Configuration Manager ポリシー モジュールをインストールします (SCEP 証明書の場合のみ)。

「手順 2: 証明書登録ポイントのプロパティで、ネットワーク デバイス登録サービスの URL として証明書登録ポイントをインストールして構成する」で指定した各サーバーに、Configuration Manager ポリシー モジュールをインストールして構成する必要があります。

ポリシー モジュールをインストールするには

1. ネットワーク デバイス登録サービスを実行するサーバーで、ドメイン管理者としてログオンし、次のファイルを、Configuration Managerインストール メディアの ConfigMgrInstallationMedia>\SMSSETUP\POLICYMODULE\X64 フォルダーから<一時フォルダーにコピーします。

   • PolicyModule.msi

   • PolicyModuleSetup.exe

   さらに、インストール メディアに LanguagePack フォルダーがある場合は、このフォルダーとその内容をコピーします。

2. 一時フォルダーからPolicyModuleSetup.exeを実行して、Configuration Manager ポリシー モジュールのセットアップ ウィザードを開始します。

3. ウィザードの最初のページで、[ 次へ] をクリックし、ライセンス条項に同意して、[ 次へ] をクリックします。

4. [ インストール フォルダー] ページで、ポリシー モジュールの既定のインストール フォルダーをそのまま使用するか、代替フォルダーを指定して、[ 次へ] をクリックします。

5. [ 証明書登録ポイント ] ページで、サイト システム サーバーの FQDN と、証明書登録ポイントのプロパティで指定されている仮想アプリケーション名を使用して、証明書登録ポイントの URL を指定します。 既定の仮想アプリケーション名は CMCertificateRegistration です。 たとえば、サイト システム サーバーの FQDN が server1.contoso.com で、既定の仮想アプリケーション名を使用した場合は、 を指定 https://server1.contoso.com/CMCertificateRegistrationします。

6. 既定のポート 443 をそのまま使用するか、証明書登録ポイントで使用する代替ポート番号を指定して、[ 次へ] をクリックします。

7. [ ポリシー モジュール] ページの [クライアント証明書] ページで、「 手順 1: ネットワーク デバイス登録サービスと依存関係をインストールして構成する」で展開したクライアント認証証明書を参照して指定し、[ 次へ] をクリックします。

8. [ 証明書登録ポイント証明書 ] ページで、[ 参照 ] をクリックして、 手順 2: 証明書登録ポイントのインストールと構成の最後に保存したルート CA のエクスポートされた証明書ファイルを選択します。

   注:

   この証明書ファイルを以前に保存していない場合は、サイト サーバー コンピューターの <ConfigMgr インストール パス>\inboxes\certmgr.box にあります。

9. [ 次へ ] をクリックし、ウィザードを完了します。

   Configuration Manager ポリシー モジュールをアンインストールする場合は、コントロール パネルの [プログラムと機能] を使用します。

構成手順が完了したので、証明書プロファイルを作成して展開することで、ユーザーとデバイスに証明書を展開する準備ができました。 証明書プロファイルを作成する方法の詳細については、「証明書プロファイル を作成する方法」を参照してください。