クライアント証明書の選択条件の指定方法

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 がネイティブ モードで動作している場合、クライアントは、Configuration Manager 2007 の外部で管理されているクライアント証明書を使用してサイトと通信します。使用できる証明書が複数ある場合、Configuration Manager 2007 クライアント通信用に正しい証明書を選択することが重要です。このシナリオでは、証明書の選択方法を指定します。

この構成では、2 つの手順がサポートされています。使用している環境に適した手順を選択してください。2 つの手順は次のとおりです。

• 設定を Active Directory ドメイン サービスに発行します。設定を Active Directory ドメイン サービスに発行するには、[サイトのプロパティ] の[サイト モード] タブで設定を指定します。この構成方法を使用して設定を構成するクライアントは、次の条件をすべて満たす必要があります。

  • Active Directory ドメイン サービスは、Configuration Manager 2007 のスキーマ拡張で拡張する必要があります。

  • サイトは、Active Directory ドメイン サービスに発行している必要があります。

  • クライアントは、イントラネット上に存在する必要があります。

  • クライアントは、サイト サーバーと同じ Active Directory フォレストにある必要があります。

• CCMSetup.exe のコマンド ライン オプションを使用して設定を指定します。CCMSetup のオプションは、クライアントを最初にインストールするとき、または、インストール後に実行するスクリプトとして指定されたときに使用できます。後者の場合、クライアントを新しい構成で再インストールします。

  クライアントが既にインストールされている場合は、ソフトウェアの配布機能を使用して CCMSetup のコマンドをクライアントに送信するか、Configuration Manager 2007 タスク シーケンスを使用することで、これを実現できます。CCMSetup で指定された設定が Active Directory ドメイン サービスに発行された設定と競合し、クライアントが Active Directory ドメイン サービスの設定にアクセスできる場合は、Active Directory ドメイン サービスからの設定が優先され、CCMSetup で指定された設定は使用されません。

さらに、社内のクライアント管理ツールを使用して設定を指定することもできます。たとえば、標準的なビルド イメージに設定を組み込んだり、レジストリを編集するカスタム スクリプトを展開したりすることが可能です。

設定を Active Directory ドメイン サービスに発行することで、クライアント証明書の選択条件を指定するには

1. Configuration Manager コンソールで、[System Center Configuration Manager]、[サイト データベース]、[サイトの管理] の順に移動します。

2. <サイト コード> -<サイト名> を右クリックし、[プロパティ] をクリックします。

3. サイトのプロパティ ダイアログ ボックスの [サイト モード] タブで、サイト モードが [ネイティブ] として構成されていることを確認し、[Active Directory に公開されたクライアントの設定] セクションを探します。

4. [証明書の条件] で、次のいずれかのオプションを選択し、文字列または属性の一致を使用するオプションを選択した場合は、テキスト ボックスに文字列または属性を入力します。

   • 証明書の目的のみをチェックする

   • サブジェクト名または代替名に文字列が含まれる

   • サブジェクトまたは代替に属性が含まれる

5. [複数の証明書が条件に一致した場合] では、次のいずれかのオプションを選択します。

   • 一致した証明書を選択する:クライアントは、証明書の選択条件に一致する証明書の一覧からランダムに証明書を選択してサイトと通信します。ただし、クライアントが Configuration Manager 2007 SP1 以降を実行している場合、有効期間が最も長い証明書が選択されます。

   • 選択せずにエラー メッセージを送信する:クライアントは、サイトとの通信に証明書を選択しません。このシナリオでは、クライアントは管理ポイントへの接続を試みず、フォールバック ステータス ポイントにエラー メッセージを送信します。これは、複数の証明書が使用できる場合に安全性と信頼性がより高いオプションです。

6. [OK] をクリックします。

   注意

   このダイアログ ボックスのオプションの詳細については、「サイトのプロパティ:[サイト モード] タブ」を参照してください。

CCMSetup.exe のコマンド ライン オプションで設定を指定することで、クライアント証明書の選択条件を指定するには

• client.msi のパラメータ CCMCERTSEL を使用して、CCMSetup.exe を実行します。CCMSetup のオプションの詳細については、「Configuration Manager クライアント インストールのプロパティについて」を参照してください。

参照:

タスク

クライアント証明書ストアの指定方法

概念

ネイティブ モードの証明書要件
クライアント証明書設定を指定するかどうかを判断する (ネイティブ モード)

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.