更新 Publisher の証明書とセキュリティを管理する

Configuration Manager (現在のブランチ) に適用

次の手順は、更新サーバーで証明書ストアを構成したり、クライアント コンピューターで自己署名証明書を構成したり、コンピューター上のWindows Update エージェントが発行された更新プログラムをスキャンできるようにグループ ポリシーを構成したりするのに役立ちます。

更新サーバーで証明書ストアを構成する

パブリッシャー更新デジタル証明書を使用して、発行するカタログの更新プログラムに署名します。 カタログを更新サーバーに発行するには、そのコンピューターが更新サーバーからリモートである場合は、その証明書を更新サーバー上の証明書ストアと更新パブリッシャー コンピューターの証明書ストアに含める必要があります。

次の手順は、更新サーバー上の証明書ストアに証明書を追加するためのいくつかの方法の 1 つです。

証明書ストアを構成するには

1. 更新 Publisher コンピューターと更新サーバーの両方にアクセスできるコンピューターで、[スタート] をクリックし、[実行] をクリックし、テキスト ボックスに「MMC」と入力し、[OK] をクリックしてMicrosoft管理コンソール (MMC) を開きます。

2. [ ファイル] をクリックし、[ スナップインの追加と削除] をクリックし、[ 追加] をクリックし、[ 証明書] をクリックし、[ 追加] をクリックし、[ コンピューター アカウント] を選択して、[ 次へ] をクリックします。

3. [ 別のコンピューター] を選択し、更新サーバーの名前を入力するか、[ 参照 ] をクリックして更新サーバー コンピューターを見つけ、[ 完了] をクリックし、[ 閉じる] をクリックして、[OK] をクリック します。

4. [ 証明書 (更新サーバー名)] を展開し、[ WSUS] を展開し、[ 証明書] をクリックします。

5. 結果ウィンドウで目的の証明書を右クリックし、[ すべてのタスク] をクリックし、[ エクスポート] をクリックします。

6. 証明書のエクスポート ウィザードで、既定の設定を使用して、ウィザードで指定した名前と場所を含むエクスポート ファイルを作成します。 このファイルは、次の手順に進む前に更新サーバーで使用できる必要があります。

7. [信頼された発行元] を右クリックし、[すべてのタスク] をクリックし、[インポート] をクリックします。 手順 6. からエクスポートしたファイルを使用して、証明書のインポート ウィザードを完了します。

8. WSUS パブリッシャーの自己署名など、自己署名証明書を使用する場合は、[信頼されたルート証明機関] を右クリックし、[すべてのタスク] をクリックし、[インポート] をクリックします。 手順 6. からエクスポートしたファイルを使用して、証明書のインポート ウィザードを完了します。

9. [証明書 (更新サーバー名)] を右クリックし、[別のコンピューターに接続] をクリックし、更新パブリッシャー コンピューターのコンピューター名を入力して、[OK] をクリックします。

10. パブリッシャー更新更新サーバーからリモートである場合は、手順 7 ~ 9 を繰り返して、証明書を更新パブリッシャー コンピューターの証明書ストアにインポートします。

クライアント コンピューターで自己署名証明書を構成する

クライアント コンピューターでは、Windows Update エージェント (WUA) によってカタログからの更新プログラムがスキャンされます。 このプロセスは、エージェントがローカル コンピューター上の信頼された発行元ストアでそのデジタル証明書を見つけることができない場合、更新プログラムをインストールできません。 WSUS Publishers 自己署名などの更新プログラム カタログの発行に自己署名証明書が使用された場合、エージェントが証明書の有効性を確認できるように、証明書はローカル コンピューターの信頼されたルート証明機関の証明書ストアにも存在する必要があります。

グループ ポリシーと証明書のインポート ウィザードの使用、または Certutil ツールとソフトウェア配布の使用など、クライアント コンピューターで証明書を構成するためのいくつかの方法のいずれかを使用できます。

クライアント コンピューターで署名証明書を構成する方法の 1 つの例として、次を示します。

クライアント コンピューターで自己署名証明書を構成するには

1. 更新サーバーにアクセスできるコンピューターで、[スタート] をクリックし、[実行] をクリックし、テキスト ボックスに「MMC」と入力し、[OK] をクリックしてMicrosoft管理コンソール (MMC) を開きます。

2. [ ファイル] をクリックし、[ スナップインの追加と削除] をクリックし、[ 追加] をクリックし、[ 証明書] をクリックし、[ 追加] をクリックし、[ コンピューター アカウント] を選択して、[ 次へ] をクリックします。

3. [ 別のコンピューター] を選択し、更新サーバーの名前を入力するか、[ 参照 ] をクリックして更新サーバー コンピューターを見つけ、[ 完了] をクリックし、[ 閉じる] をクリックして、[OK] をクリック します。

4. [ 証明書 (更新サーバー名)] を展開し、[ WSUS] を展開し、[ 証明書] をクリックします。

5. 結果ウィンドウで証明書を右クリックし、[ すべてのタスク] をクリックし、[ エクスポート] をクリックします。 既定の設定を使用して 証明書のエクスポート ウィザード を完了し、ウィザードで指定した名前と場所を含むエクスポート証明書ファイルを作成します。

6. 次のいずれかの方法を使用して、WUA を使用してカタログ内の更新プログラムをスキャンする各クライアント コンピューターに、更新プログラム カタログの署名に使用する証明書を追加します。 次のように、クライアント コンピューターに証明書を追加します。

   • 自己署名証明書の場合: 信頼されたルート証明機関と信頼された 発行元の証明書ストアに証明書 を 追加します。

   • 証明機関 (CA) が発行した証明書の場合: 信頼された発行元 の証明書ストアに証明書を追加します。

   注:

   WUA は、ローカル コンピューターで [イントラネットから署名されたコンテンツMicrosoft更新サービスの場所グループ ポリシー設定を有効にするかどうかを確認します。 このポリシー設定は、WUA がパブリッシャーで作成および発行された更新プログラムをスキャン更新有効にする必要があります。 このグループ ポリシー設定を有効にする方法の詳細については、「クライアント コンピューターでグループ ポリシーを構成する方法」を参照してください。

コンピューター上の WUA が発行された更新プログラムをスキャンできるようにグループ ポリシーを構成する

コンピューター上のWindows Update エージェント (WUA) が、更新 Publisher で作成および発行された更新プログラムをスキャンする前に、イントラネットから署名されたコンテンツを許可Microsoft更新サービスの場所にポリシー設定を有効にする必要があります。 ポリシー設定を有効にすると、ローカル コンピューターの 信頼された発行元 証明書ストアに更新プログラムがサインインしている場合、WUA はイントラネットの場所を通じて受信した更新プログラムを受け入れます。 環境内のコンピューターでグループ ポリシーを構成する方法はいくつかあります。

ドメイン上にないコンピューターの場合は、イントラネットから署名されたコンテンツを許可するレジストリ キー設定を構成Microsoftサービスの場所を更新します。

次の手順では、ドメイン上のコンピューターのグループ ポリシーと、ドメイン上にないコンピューターのレジストリ キー値を構成するために使用できる基本的な手順を示します。

WUA が発行された更新プログラムをスキャンできるようにグループ ポリシーを構成するには

1. グループ ポリシーを構成するための適切なセキュリティ権限を持つユーザーと共に、グループ ポリシー オブジェクト エディター Microsoft管理コンソール (MMC) スナップインを開きます。

2. [参照] をクリックし、構成されたグループ ポリシーが目的のクライアント コンピューターに伝達されるサイトにリンクされているドメイン、OU、または GPO を選択します。 [ OK] をクリックし、[ 完了] をクリックし、[ 閉じる] をクリックし、[OK] をクリック します。

3. コンソール ツリーで選択したポリシー設定を展開し、[コンピューターの構成]、[管理用テンプレート] の順に展開し、[Windows コンポーネント] を展開して、[Windows Update] をクリックします。

4. 結果ウィンドウで、[イントラネットから署名されたコンテンツを許可する] Microsoftサービスの場所を更新する] を右クリックし、[プロパティ] をクリックし、[有効] をクリックして、[OK] をクリックします。