次の方法で共有

モバイル デバイス クライアントへの証明書の展開

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 を使用してモバイル デバイスに証明書を展開できます。モバイル デバイスへの証明書の展開の一般的なシナリオとして次のようなものがあります。

  • ネイティブ モードまたはサーバー認証モードのモバイル デバイス クライアントのインストール用にルート証明書および必要な中間証明機関証明書を展開する場合

  • 混在モードからネイティブ モードへ移行する際に、クライアント証明書を展開する場合

  • サードパーティ製アプリケーションの証明書を展開する場合

  • Configuration Manager 2007 サイト サーバー署名証明書を展開する場合

証明書を展開する前に、ルート証明機関および中間証明機関用にエクスポートされた証明書を X.509 .cer ファイルの形式で取得する必要があります。

Configuration Manager 2007 では、次の方法で証明書を展開できます。

  • 証明書インストール構成項目

  • モバイル デバイス クライアントのインストールまたはアップグレード

モバイル デバイスへの証明書のインストールの詳細については、「ネイティブ モードで必要な PKI 証明書の展開」を参照してください。

証明書インストール構成項目を使用した証明書の展開

証明書インストール構成項目を使用して証明書を Configuration Manager 2007 で管理するモバイル デバイス クライアントに展開できます。構成項目ウィザードの使用の詳細については、「モバイル デバイスの構成項目の作成方法」を参照してください。

モバイル デバイス上の証明書ストア

Windows Mobile デバイスには、次の証明書のストアが含まれます。

  • ルート - モバイル デバイスのルート証明書。ルート ストアは、主に、提示された証明書が信頼されるルート証明機関に正常にチェーンすることを検証するために使用されます。このストアはコードの実行には使用されません。サイト サーバー署名証明書のコピーは、ここに格納されています。

  • ソフトウェア発行元証明書 (SPC) - SPC 証明書は、サードパーティ製ソフトウェア プログラムの特権レベルを定義します。SPC 証明書には次の 2 つの種類があります。

    • 特権のある - 特権のある証明書はモバイル デバイスに対する管理者権限と、レジストリへの無制限のアクセス権があります。

    • 特権のない - 特権のない証明書は、モバイル デバイスに対する権限が制限され、レジストリの特定の部分にはアクセスできません。

  • 中間 - 中間証明書は、ルート機関までの連続する機関のチェーンを認証します。

モバイル デバイス クライアントのインストールまたはアップグレード時の証明書の展開

Configuration Manager 2007 のモバイル デバイス クライアントのインストールまたはアップグレード プロセスでは、登録プログラムを使用して証明書をモバイル デバイスに展開します。ネイティブ モードでモバイル デバイスに必要な証明書の詳細については、「モバイル デバイス クライアントのネイティブ モード証明書について」を参照してください。

モバイル デバイス クライアントのインストールまたはアップグレード時に証明書を展開するには、以下が必要です。

モバイル デバイス クライアントのインストールまたはアップグレードの詳細については、「モバイル デバイス管理クライアントのインストールまたはアップグレード方法」を参照してください。

DMCommonInstaller.ini および ClientSettings.ini の証明書の値

DMCommonInstaller.ini ファイルおよび ClientSettings.ini ファイルには、証明書展開の値を定義します。また、これらのファイルは特定の環境に合わせて編集する必要があります。デバイスに証明書を展開するための値には次のカテゴリがあります。

  • 証明書登録

  • 証明書のインポート

  • サイト サーバー署名証明書の更新

証明書登録の値

DMCommonInstaller.ini ファイルまたは ClientSettings.ini ファイルの次の値を使用して、クライアント インストールまたはアップグレード時の証明書登録を定義します。証明書を登録する場合は、これらの値をサイト環境に定義します。

  • CertEnrollAction=Enroll

  • CertEnrollServer=certserver.contoso.com

  • CertEnrollServerPort=80

    注意

    Configuration Manager 2007 モバイル デバイス証明書登録では、HTTPS はサポートされていません。

  • CertRequestPage=/certsrv/certfnsh.asp

  • CertDownloadPage=/certsrv/certnew.cer

  • CertChainDownloadPage=/certsrv/certnew.p7b

CertEnrollAction の値が Enroll の場合、登録アプリケーション (Enroll_ARM.exe、Enroll_WinCE5.0_x86.exe、または Enroll_WinCE5.0_ARM.exe) が、個人用ストアのモバイル デバイスに有効なクライアント認証証明書があるかどうかチェックします。クライアント認証証明書が見つからない場合は、モバイル デバイス ユーザーに認証を求めるプロンプトが表示され、クライアント認証証明書がモバイル デバイスの個人用ストアに登録されます。DMCommonInstaller.ini ファイルまたは ClientSettings.ini ファイルのその他の値で、登録プロセスのパラメータが定義されます。詳細については、「モバイル デバイス管理の DMCommonInstaller.ini ファイルの編集方法」または「モバイル デバイス管理の ClientSettings.ini ファイルの編集方法」を参照してください。

証明書の値のインポート :ImportCerts

DMCommonInstaller.ini ファイルまたは ClientSettings.ini ファイルの ImportCerts の値が True に設定されている場合、セットアップ プログラムがクライアント転送ディレクトリにある証明書ファイル (.cer) をモバイル デバイスのルート ストアにインポートします。必要な証明書が既にモバイル デバイス上に存在する場合、このオプションはネイティブ モードのセットアップには必要ありません。インポートされる証明書は Distinguished Encoding Rules (DER)-encoded binary X.509 形式である必要があります。Base64-encoded X.509 証明書はサポートされていません。

サイト サーバー署名証明書の更新

DMCommonInstaller.ini ファイルまたは ClientSettings.ini ファイルの EnableSSSCRenewal の値には、新しいサイト サーバー署名証明書がサイト サーバーで利用できるようになったとき、その証明書をダウンロードしてインストールするかどうかを指定します。EnableSSCRenewal が False に設定されている場合、管理者は手動で更新されたサイト サーバー署名証明書を展開する必要があります。

参照:

概念

モバイル デバイス クライアントのネイティブ モード証明書について
Configuration Manager コンピュータへの中間証明機関証明書の展開
モバイル デバイス管理の ClientSettings.ini ファイルの編集方法
モバイル デバイス管理の DMCommonInstaller.ini ファイルの編集方法
モバイル デバイス管理クライアントのインストールまたはアップグレード方法

その他のリソース

証明書のインストールのプロパティ

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.