次の方法で共有


オペレーティング システムの展開で使用する証明書のエクスポート方法

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 サイトがネイティブ モードで稼働する場合、管理ポイントとの通信が必要なオペレーティング システム展開は、公開キー基盤 (PKI) 証明書を使用するように構成する必要があります。オペレーティング システムの展開の証明書要件の詳細については、「ネイティブ モード証明書とオペレーティング システムの展開について」を参照してください。

必要な証明書を使用してオペレーティング システム展開を構成するには、公開キー証明書標準 (PKCS #12) ファイルをインポートします。このファイルは、Configuration Manager 2007 の外部で作成されます。ただし、次の手順を使用してこのファイルを作成できます。

この手順を実行する前に、証明書をコンピュータに展開しておく必要があります。証明書要件は次のとおりです。

  • 使用目的にクライアント認証が含まれている

  • 秘密キーがエクスポート可能である

Configuration Manager のネイティブ モード通信のためのコンピュータ証明書を展開する方法の詳細については、「クライアントと管理ポイントへのクライアント コンピュータ証明書の展開」を参照してください。

重要

オペレーティング システム展開に必要なコンピュータ証明書と、ネイティブ モードサイトの Configuration Manager 2007 クライアントに必要なコンピュータ証明書は異なります。

オペレーティング システム展開のために証明書を作成および展開する場合、次のような考慮事項があります。

  • Microsoft PKI ソリューションを使用し、さらに Windows Server 2003 証明書サービスの Enterprise Edition と自動登録用のテンプレートを使用している場合、コンピュータ テンプレートまたはワークステーション テンプレートのどちらかを使用できます。ただし、証明書テンプレートの [要求処理] タブで [プライベート キーのエクスポートを許可する] オプションが有効になるように、テンプレートを変更する必要があります (複製してからコピーを変更します)。

  • 多くのコンピュータ証明書と異なり、この証明書は特定のコンピュータに制限されたり、所有されたりすることはありませんが、ネイティブ モード サイトでのオペレーティング システム展開の対象となるすべてのコンピュータによって一時的に共有されます。この動作のため、識別用に一意の属性 (カスタムのサブジェクト名またはサブジェクト別名) を持つ証明書を作成し、それをオペレーティング システム展開のみに使用することを検討してください。万一証明書が侵害された場合、簡単に識別して他のコンピュータに影響を与えずに失効させることができます。

  • 証明書の有効期限に合わせてオペレーティング システム展開を構成し直すという管理上のオーバーヘッドを減らすために、通常よりも長い有効期間を設定することを検討してください。

証明書がコンピュータに展開されたら、次の手順を使用して、オペレーティング システム展開で使用できるように証明書をエクスポートできます。PXE サービス ポイントを使用している場合は、エクスポートされた証明書を、データベースの構成プロパティの一部としてインポートします。ブート メディアを作成している場合は、エクスポートされた証明書を、タスク シーケンス メディア ウィザードの [セキュリティ] ページでインポートします。

Windows 7 または Windows Vista を実行しているコンピュータから、オペレーティング システム展開で使用する証明書をエクスポートするには

  1. 証明書がインストールされた Windows 7 または Windows Vista コンピュータで、ローカルの管理者としてログインし、[スタート] をクリックして、[検索] ボックスに**「mmc」**と入力してから Enter キーを押します。

  2. 空のコンソールで、[ファイル] メニューの [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書] をクリックし、[追加] をクリックします。

  4. [証明書スナップイン] ページで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。

  5. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ:(このコンソールを実行しているコンピュータ)] オプションが選択されていることを確認し、[完了] をクリックします。

  6. [スタンドアロン スナップインの追加] ダイアログ ボックスを閉じるには、[OK] をクリックします。

  7. コンソールで、[証明書 (ローカル コンピュータ)] をダブルクリックします。

  8. コンソールで、[個人用] を展開します。

  9. オペレーティング システム展開で使用するために必要な証明書を検索します。

  10. 必要な証明書を右クリックし、[すべてのタスク] をクリックし、[エクスポート] をクリックして証明書のエクスポート ウィザードを起動します。

  11. 証明書のエクスポート ウィザードの [ようこそ] ページで、[次へ] をクリックします。

  12. [秘密キーのエクスポート] ページで、[はい] をクリックし、秘密キーをエクスポートしてから、[次へ] をクリックします。

    注意

    このオプションが使用できない場合、その証明書は秘密キーをエクスポートするオプションなしで作成されています。この場合、証明書を必要な形式でエクスポートできません。

  13. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] というオプションが選択されていることを確認します。

    注意

    オプションで [正しくエクスポートされたときは秘密キーを削除する] をクリックすると、エクスポート後にその証明書をコンピュータで使用できないようになります。これにより、証明書がオペレーティング システム展開でのみ使用されます。または、エクスポート手順の完了後、手動でコンピュータの証明書を削除することもできます。

  14. [パスワード] ページで、エクスポートした証明書とその秘密キーを保護するために強力なパスワードを指定し、[次へ] をクリックします。

  15. [エクスポートするファイル] ページで、エクスポートするファイルの名前を指定し、[次へ] をクリックします。

  16. ウィザードを閉じるには、[証明書のエクスポート ウィザード] ダイアログ ボックスで [完了] をクリックします。

  17. ファイルをセキュリティで保護して保存し、Configuration Manager コンソールからアクセスできることを確認します。

Windows XP Professional または Windows Server 2003 を実行しているコンピュータから、オペレーティング システム展開で使用する証明書をエクスポートするには

  1. 証明書がインストールされた Windows XP Professional または Windows Server 2003 コンピュータで、[スタート][ファイル名を指定して実行] の順にクリックし、[ファイル名を指定して実行] ダイアログ ボックスに**「MMC」**と入力して、[OK] をクリックします。

  2. 空のコンソールで、[ファイル] メニューの [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[追加] をクリックします。

  4. [利用できるスナップイン] で [証明書] をクリックし、[追加] をクリックします。

  5. [証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。

  6. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ:(このコンソールを実行しているコンピュータ)] オプションが選択されていることを確認し、[完了] をクリックします。

  7. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  8. コンソールで、[証明書 (ローカル コンピュータ)] を展開します。

  9. [個人用] を展開し、[証明書] をクリックします。

  10. 結果ウィンドウで、オペレーティング システム展開に必要な証明書を検索します。

  11. 必要な証明書を右クリックし、[すべてのタスク] をクリックしてから、[エクスポート] をクリックします。

  12. 証明書のエクスポート ウィザードで、[次へ] をクリックします。

  13. [秘密キーのエクスポート] ページで、[はい] をクリックし、秘密キーをエクスポートしてから、[次へ] をクリックします。

    注意

    このオプションが使用できない場合、その証明書は秘密キーをエクスポートするオプションなしで作成されています。この場合、証明書を必要な形式でエクスポートできません。

  14. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] というオプションが選択されていることを確認します。

    注意

    オプションで [正しくエクスポートされたときは秘密キーを削除する] をクリックすると、エクスポート後にその証明書をコンピュータで使用できないようになります。これにより、証明書がオペレーティング システム展開でのみ使用されます。または、エクスポート手順の完了後、手動でコンピュータの証明書を削除することもできます。

  15. [パスワード] ページで、エクスポートした証明書とその秘密キーを保護するために強力なパスワードを指定し、[次へ] をクリックします。

  16. [エクスポートするファイル] ページで、エクスポートするファイルの名前を指定し、[次へ] をクリックします。

  17. [証明書のエクスポート ウィザード] ダイアログ ボックスで [OK] をクリックして、ウィザードを閉じます。

  18. ファイルをセキュリティで保護して保存し、Configuration Manager コンソールからアクセスできることを確認します。

参照:

タスク

オペレーティング システムの展開クライアントで使用するルート証明機関証明書の準備方法

概念

Configuration Manager サイト モード
ネイティブ モード証明書とオペレーティング システムの展開について
クライアントと管理ポイントへのクライアント コンピュータ証明書の展開

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.