証明書プロファイルを作成する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

重要

バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

Configuration Managerの証明書プロファイルを使用して、会社のリソースにアクセスするために必要な証明書を使用してマネージド デバイスをプロビジョニングします。 証明書プロファイルを作成する前に、「証明書インフラストラクチャを設定する」の説明に従 って証明書インフラストラクチャを設定します

この記事では、信頼されたルートと単純な証明書登録プロトコル (SCEP) 証明書プロファイルを作成する方法について説明します。 PFX 証明書プロファイルを作成する場合は、「 PFX 証明書プロファイルの作成」を参照してください。

証明書プロファイルを作成するには:

  1. 証明書プロファイルの作成ウィザードを開始します。
  2. 証明書に関する一般的な情報を指定します。
  3. 信頼された証明機関 (CA) 証明書を構成します。
  4. SCEP 証明書情報を構成します。
  5. 証明書プロファイルでサポートされているプラットフォームを指定します。

ウィザードを開始する

証明書プロファイルの作成を開始するには:

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースに移動し、[コンプライアンス設定] を展開し、[会社のリソース アクセス] を展開して、[証明書プロファイル] ノードを選択します。

  2. リボンの [ ホーム ] タブの [ 作成 ] グループで、[ 証明書プロファイルの作成] を選択します。

一般

証明書プロファイルの作成ウィザードの [ 全般 ] ページで、次の情報を指定します。

  • [名前]: 証明書プロファイルの一意の名前を入力します。 最大 256 文字を使用できます。

  • 説明: 証明書プロファイルの概要を示す説明を指定します。 また、Configuration Manager コンソールで識別するのに役立つその他の関連情報も含めます。 最大 256 文字を使用できます。

  • 作成する証明書プロファイルの種類を指定します。

    • 信頼された CA 証明書: 信頼されたルート証明機関 (CA) または中間 CA 証明書を展開して、ユーザーまたはデバイスが別のデバイスを認証する必要がある場合に信頼の証明書チェーンを形成するには、この種類を選択します。 たとえば、デバイスはリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーまたは仮想プライベート ネットワーク (VPN) サーバーなどです。

      また、SCEP 証明書プロファイルを作成する前に、信頼された CA 証明書プロファイルを構成します。 この場合、信頼された CA 証明書は、ユーザーまたはデバイスに証明書を発行する CA 用である必要があります。

    • 簡易証明書登録プロトコル (SCEP) の設定: 簡易証明書登録プロトコルとネットワーク デバイス登録サービス (NDES) ロール サービスを使用して、ユーザーまたはデバイスの証明書を要求するには、この種類を選択します。

    • 個人情報 Exchange PKCS #12 (PFX) 設定 - インポート: PFX 証明書をインポートするには、このオプションを選択します。 詳細については、「 PFX 証明書プロファイルのインポート」を参照してください。

    • 個人情報 Exchange PKCS #12 (PFX) 設定 - 作成: 証明機関を使用して PFX 証明書を処理するには、このオプションを選択します。 詳細については、「 PFX 証明書プロファイルの作成」を参照してください。

信頼された CA 証明書

重要

SCEP 証明書プロファイルを作成する前に、少なくとも 1 つの信頼された CA 証明書プロファイルを構成します。

証明書をデプロイした後、これらの値のいずれかを変更すると、新しい証明書が要求されます。

  • キー ストレージ プロバイダー
  • 証明書テンプレート名
  • 証明書の種類
  • 件名の形式
  • サブジェクト名の別名
  • [証明書の有効期間]
  • キー使用法
  • キー サイズ
  • 拡張キーの使用
  • ルート CA 証明書

  1. 証明書プロファイルの作成ウィザードの [ 信頼された CA 証明書 ] ページで、次の情報を指定します。

    • 証明書ファイル: [ インポート] を選択し、証明書ファイルを参照します。

    • 宛先ストア: 複数の証明書ストアを持つデバイスの場合は、証明書を格納する場所を選択します。 ストアが 1 つしかないデバイスの場合、この設定は無視されます。

  2. 証明書の 拇印 の値を使用して、正しい証明書がインポートされていることを確認します。

SCEP 証明書

1. SCEP サーバー

証明書プロファイルの作成ウィザードの [ SCEP サーバー] ページで、SCEP 経由で証明書を発行する NDES サーバーの URL を指定します。 証明書登録ポイントの構成に基づいて NDES URL を自動的に割り当てたり、URL を手動で追加したりできます。

2. SCEP 登録

証明書プロファイルの作成ウィザードの [SCEP 登録 ] ページを完了します。

  • 再試行: デバイスが証明書要求を NDES サーバーに自動的に再試行する回数を指定します。 この設定は、CA マネージャーが受け入れられる前に証明書要求を承認する必要があるシナリオをサポートします。 この設定は、通常、セキュリティが高い環境や、エンタープライズ CA ではなくスタンドアロンの発行元 CA がある場合に使用されます。 また、この設定をテスト目的で使用して、発行元 CA が証明書要求を処理する前に証明書要求オプションを検査することもできます。 この設定は、[ 再試行の遅延 (分)] 設定で使用します。

  • 再試行の遅延 (分): 発行元 CA が証明書要求を処理する前に CA マネージャーの承認を使用する場合の各登録試行の間隔を分単位で指定します。 テスト目的でマネージャーの承認を使用する場合は、低い値を指定します。 その後、要求を承認した後、デバイスが証明書要求を再試行するまで長い時間待つ必要はありません。

    運用ネットワークでマネージャーの承認を使用する場合は、より大きな値を指定します。 この動作により、CA 管理者が保留中の承認を承認または拒否するのに十分な時間を確保できます。

  • 更新しきい値 (%): デバイスが証明書の更新を要求する前に残っている証明書の有効期間の割合を指定します。

  • キー ストレージ プロバイダー (KSP): 証明書のキーを格納する場所を指定します。 次のいずれかの値を選択します。

    • トラステッド プラットフォーム モジュール (TPM) へのインストール (存在する場合): TPM にキーをインストールします。 TPM が存在しない場合、キーはソフトウェア キーのストレージ プロバイダーにインストールされます。

    • トラステッド プラットフォーム モジュール (TPM) へのインストールが失敗する場合: キーを TPM にインストールします。 TPM モジュールが存在しない場合、インストールは失敗します。

    • インストールWindows Hello for Business失敗する場合: このオプションは、Windows 10以降のデバイスで使用できます。 これにより、多要素認証によって保護されているWindows Hello for Business ストアに証明書を格納できます。 詳しくは、「Windows Hello for Business」をご覧ください。

      注:

      このオプションでは、[証明書のプロパティ] ページの [拡張キーの使用] のスマート カード ログオンはサポートされていません。

    • ソフトウェア キー ストレージ プロバイダーへのインストール: ソフトウェア キーのストレージ プロバイダーにキーをインストールします。

  • 証明書登録用のデバイス: 証明書プロファイルをユーザー コレクションに展開する場合は、ユーザーのプライマリ デバイス、またはユーザーがサインインする任意のデバイスでのみ証明書の登録を許可します。

    証明書プロファイルをデバイス コレクションに展開する場合は、デバイスのプライマリ ユーザーのみ、またはデバイスにサインインするすべてのユーザーに対して証明書の登録を許可します。

3. 証明書のプロパティ

証明書プロファイルの作成ウィザードの [ 証明書のプロパティ ] ページで、次の情報を指定します。

  • 証明書テンプレート名: NDES で構成し、発行元 CA に追加した証明書テンプレートの名前を選択します。 証明書テンプレートを正常に参照するには、ユーザー アカウントに証明書テンプレートに対する 読み取り アクセス許可が必要です。 証明書を 参照 できない場合は、その名前を入力します。

    重要

    証明書テンプレート名に ASCII 以外の文字が含まれている場合、証明書はデプロイされません。 (これらの文字の 1 つの例は、中国語のアルファベットからの文字です)。証明書がデプロイされていることを確認するには、まず CA で証明書テンプレートのコピーを作成します。 次に、ASCII 文字を使用してコピーの名前を変更します。

    • 参照 して証明書 テンプレートの名前を選択すると、ページの一部のフィールドが証明書テンプレートから自動的に設定されます。 場合によっては、別の証明書テンプレートを選択しない限り、これらの値を変更できません。

    • 証明書テンプレートの名前を 入力 する場合は、名前が証明書テンプレートの 1 つと完全に一致していることを確認します。 これは、NDES サーバーのレジストリに一覧表示されている名前と一致する必要があります。 証明書テンプレートの表示名ではなく、証明書テンプレートの名前を指定してください。

      証明書テンプレートの名前を見つけるには、次のレジストリ キーを参照します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP EncryptionTemplate、GeneralPurposeTemplateSignatureTemplate の値として証明書テンプレートが一覧表示されます。 既定では、3 つの証明書テンプレートの値はすべて IPSECIntermediateOffline で、 IPSec (オフライン要求) のテンプレート表示名にマップされます。

      警告

      証明書テンプレートの名前を入力すると、Configuration Manager証明書テンプレートの内容を確認できません。 証明書テンプレートがサポートしていないオプションを選択できる場合があり、証明書要求が失敗する可能性があります。 この動作が発生すると、CPR.log ファイルにw3wp.exeのエラー メッセージが表示され、証明書署名要求 (CSR) のテンプレート名とチャレンジが一致しません。

      GeneralPurposeTemplate 値に指定されている証明書テンプレートの名前を入力したら、この証明書プロファイルの [キー暗号化] オプションと [デジタル署名] オプションを選択します。 この証明書プロファイルで [キー暗号化 ] オプションのみを有効にする場合は、 EncryptionTemplate キーの証明書テンプレート名を指定します。 同様に、この証明書プロファイルで デジタル署名 オプションのみを有効にする場合は、 SignatureTemplate キーの証明書テンプレート名を指定します。

  • 証明書の種類: 証明書をデバイスまたはユーザーに展開するかどうかを選択します。

  • サブジェクト名の形式: 証明書要求Configuration Managerサブジェクト名を自動的に作成する方法を選択します。 証明書がユーザーの場合は、サブジェクト名にユーザーのメール アドレスを含めることもできます。

    注:

    [IMEI 番号] または [シリアル番号] を選択すると、同じユーザーが所有するさまざまなデバイスを区別できます。 たとえば、これらのデバイスは共通の名前を共有できますが、IMEI 番号やシリアル番号は共有できません。 デバイスが IMEI またはシリアル番号を報告しない場合、証明書は共通名で発行されます。

  • サブジェクトの別名: 証明書要求Configuration Managerサブジェクト別名 (SAN) の値を自動的に作成する方法を指定します。 たとえば、ユーザー証明書の種類を選択した場合は、サブジェクトの別名にユーザー プリンシパル名 (UPN) を含めることができます。 クライアント証明書がネットワーク ポリシー サーバーに対して認証される場合は、サブジェクトの別名を UPN に設定します。

  • 証明書の有効期間: 発行元 CA でカスタム有効期間を設定する場合は、証明書の有効期限が切れるまでの残りの時間を指定します。

    ヒント

    次のコマンド ラインでカスタム有効期間を設定します。certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE このコマンドの詳細については、「 証明書インフラストラクチャ」を参照してください。

    指定した証明書テンプレートの有効期間より低い値を指定できますが、それ以上は指定できません。 たとえば、証明書テンプレートの証明書の有効期間が 2 年の場合は、1 年の値を指定できますが、5 年の値は指定できません。 また、発行元の CA の証明書の残りの有効期限よりも小さい値を指定する必要があります。

  • キー使用法: 証明書のキー使用法オプションを指定します。 次のオプションから選択します。

    • キーの暗号化: キーが暗号化されている場合だけキーを交換できます。

    • デジタル署名: キーがデジタル署名で保護されている場合だけ、キーを交換できます。

    証明書テンプレートを参照した場合、別の証明書テンプレートを選択しない限り、これらの設定を変更することはできません。

    上記の 2 つのキー使用法オプションの一方または両方を使用して、選択した証明書テンプレートを構成します。 そうでない場合は、証明書登録ポイントのログ ファイル Crp.log に次のメッセージが表示されます。 CSR とチャレンジのキー使用量が一致しません

  • キー サイズ (ビット): キーのサイズをビット単位で選択します。

  • 拡張キー使用法: 証明書の目的に合った値を追加します。 ほとんどの場合、ユーザーまたはデバイスがサーバーに対して認証できるように、証明書には クライアント認証 が必要です。 必要に応じて、他のキー使用法を追加できます。

  • ハッシュ アルゴリズム: この証明書で使用できるハッシュ アルゴリズムの種類のいずれかを選択します。 接続しているデバイスをサポートするセキュリティの最も強力なレベルを選択します。

    注:

    SHA-2 では、SHA-256、SHA-384、SHA-512 がサポートされています。 SHA-3 では SHA-3 のみがサポートされています。

  • ルート CA 証明書: 以前に構成してユーザーまたはデバイスに展開したルート CA 証明書プロファイルを選択します。 この CA 証明書は、この証明書プロファイルで構成している証明書を発行する CA のルート証明書である必要があります。

    重要

    ユーザーまたはデバイスに展開されていないルート CA 証明書を指定した場合、Configuration Managerは、この証明書プロファイルで構成する証明書要求を開始しません。

サポートされるプラットフォーム

証明書プロファイルの作成ウィザードの [ サポートされているプラットフォーム ] ページで、証明書プロファイルをインストールする OS バージョンを選択します。 [ すべて選択] を選択 して、使用可能なすべてのオペレーティング システムに証明書プロファイルをインストールします。

次の手順

新しい証明書プロファイルは、[資産とコンプライアンス] ワークスペースの [証明書プロファイル] ノードに表示されます。 ユーザーまたはデバイスにデプロイする準備ができました。 詳細については、「 プロファイルをデプロイする方法」を参照してください。