クライアント証明書設定を指定するかどうかを判断する (ネイティブ モード)
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager 2007 クライアントは、管理ポイントに接続するときに、認証にクライアント証明書を使用します。
Configuration Manager 2007 クライアントは、コンピュータ証明書ストアにある証明書を使用します。既定では、クライアントは、個人用ストアに存在し、目的のフィールドにクライアント認証を含む証明書を識別し、これをネイティブ モード通信に使用します。この要件を満たす有効な証明書がクライアント コンピュータに 1 つしかない場合、Configuration Manager 2007 で証明書設定を構成する必要はありません。
次の条件のいずれかを満たす場合は、クライアント証明書設定を構成する必要があります。
Configuration Manager 2007 で使用するクライアント証明書が、個人用ストアではなく、コンピュータ証明書ストアの別の場所に存在する場合。
有効かつクライアント認証を含む証明書が複数存在する場合。この場合、Configuration Manager は使用すべき証明書を特定できません。
ネイティブ モード通信で使用できる証明書がクライアントに複数存在する場合、複数のクライアントの使用する証明書を構成できる選択方法が 2 つあります。
部分文字列を使用した、クライアント証明書のサブジェクト名との一致。この方法では大文字小文字を区別します。サブジェクト フィールドでコンピュータの完全修飾ドメイン名 (FQDN) を使用していて、contoso.com などのドメイン サフィックスに基づいて証明書を選択したい場合に便利です。この選択方法は、任意の連続する文字列を使用して、クライアント証明書ストアから特定の証明書を選別するために使用できます。
クライアント証明書のサブジェクト名属性値またはサブジェクトの別名属性値との一致。この方法では大文字小文字を区別します。サブジェクト フィールドで RFC 3280 に従い、X500 識別名または同等の OID (オブジェクト ID) を使用していて、属性値に基づいて証明書を選択したい場合に便利です。証明書ストアの他の証明書の中から特定の証明書を一意に識別する (検証して選別する) のに必要な属性と値のみを指定できます。
Configuration Manager 2007 で証明書の選択条件に使用できる属性値を次に示します。
| OID 属性 | 識別名属性 | 属性の定義 |
|---|---|---|
0.9.2342.19200300.100.1.25 |
DC |
ドメイン要素 |
1.2.840.113549.1.9.1 |
E または E-mail |
電子メール アドレス |
2.5.4.3 |
CN |
共通名 |
2.5.4.4 |
SN |
サブジェクト名 |
2.5.4.5 |
SERIALNUMBER |
シリアル番号 |
2.5.4.6 |
C |
国番号 |
2.5.4.7 |
L |
地域 |
2.5.4.8 |
S または ST |
州または都道府県 |
2.5.4.9 |
STREET |
住所 |
2.5.4.10 |
O |
組織名 |
2.5.4.11 |
OU |
組織単位 |
2.5.4.12 |
T または Title |
タイトル |
2.5.4.42 |
G または GN または GivenName |
名前 |
2.5.4.43 |
I または Initials |
イニシャル |
2.5.29.17 |
(値なし) |
サブジェクトの別名 |
選択条件を適用しても該当する証明書が複数存在する場合、証明書選択に関するクライアントの動作を指定できます。証明書を一意に選択できない場合、既定の設定では証明書は選択されないため、管理ポイントとの通信に失敗します。この場合、クライアントは割り当てられたフォールバック ステータス ポイントにエラー メッセージを送信し、証明書の選択に失敗したことを通知します。これにより、証明書選択条件の変更や改善が可能になります。
また、クライアントが適切かつ条件に一致する任意の証明書を選択するように設定することもできます。クライアントが Configuration Manager 2007 SP1 以降を実行している場合、最長の有効期間が指定された証明書が選択されます。この証明書は、ネットワーク アクセス保護と IPsec 実施を使用している場合に必要になることがあります。この設定でもネイティブ モードの通信は正常に実行されますが、使用されるクライアント証明書を制御できないため、信頼性は低くなります。
参照:
タスク
クライアント証明書の選択条件の指定方法
クライアント証明書ストアの指定方法
概念
ネイティブ モードの証明書要件
Configuration Manager クライアントの手動インストール方法
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.