次の方法で共有

  • [アーティクル]

更新日: 2009年2月

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

ネイティブ モードの Configuration Manager 2007 サイトのサイト サーバー署名証明書は Configuration Manager クライアントにダウンロードされるポリシーに署名し、ポリシーが信頼されるソースからのものであることをクライアントで確認できます。Configuration Manager クライアントではサイト サーバー署名証明書のコピーが必要で、このコピーを Active Directory または管理ポイントから取得します。これ以外にも、CCMSetup コマンド ライン オプションを使用して、インストール時にサイト サーバー署名証明書をクライアントに提供することができます。サイト サーバー署名証明書をクライアントに展開する方法の詳細については、「クライアントにサイト サーバー署名証明書を展開する方法を決定する (ネイティブ モード)」を参照してください。

Configuration Manager はサイト サーバー署名証明書を使用する前に有効性を確認し、有効期限が 10 日以内であることを検知すると、ステータス メッセージ ID 5112SMS_POLICY-PROVIDER コンポーネントと共に生成します。ステータス メッセージは 1 日に 1 回、残りの有効期限日数とともに繰り返し生成されます。

Configuration Manager サイト サーバーに展開されたサイト サーバー署名証明書を更新または変更する必要がある場合は、新しい証明書を使用するように Configuration Manager を構成する必要があります。新しいサイト サーバー署名証明書を選択すると、次のような状況が生じます。

  • サイト サーバー署名証明書の更新または同じルート証明機関からの新しい証明書の発行

  • 異なるルート証明機関からの新しい証明書の発行

サイト サーバー署名証明書の更新または同じルート証明機関からの新しい証明書の発行

新しいキー ペアを持つ新しいサイト サーバー署名証明書を使用するよう Configuration Manager サイトを構成すると (推奨される運用方法) 、すべてのクライアント ポリシーはサイト サーバーによって再度署名されます。新しいサイト サーバー署名証明書によって署名されたポリシーをクライアントがダウンロードすると、ポリシーを署名するのに使用した証明書とサイト サーバー署名証明書が一致しないため、署名がすぐに有効になりません。新しいサイト サーバー署名証明書が、以前のサイト サーバー署名証明書と同じ信頼されたルート証明書にチェーンする場合、Configuration Manager クライアントは、Active Directory ドメイン サービスまたは管理ポイントから新しいサイト サーバー署名証明書のコピーを自動的にダウンロードします。そして、新しいサイト サーバー署名証明書で署名されたポリシーを検証します。

注意

Configuration Manager サイト運用を中断しても問題がなく、管理ポイントまたはドメイン コントローラでネットワーク アクティビティおよび処理が増加してもよいトラフィックの少ない期間に、サイト サーバー署名証明書を更新します。サイト サーバーで多数のポリシーを再署名してからクライアントで新しい証明書を取得するまでに長時間かかる場合があります。

異なるルート証明機関からの、またはルート証明書を更新した後の、新しいサイト サーバー署名証明書の発行

別の証明機関を使用して、または同じ証明機関で新しいキー ペアを持つ新しいルート証明書を使用して、別のルート証明書にチェーンする新しいサイト サーバー署名証明書を使用するように Configuration Manager サイトを構成した場合、クライアントは新しいサイト サーバー署名証明書で署名されたポリシーを受け取っても、新しいサイト サーバー署名証明書は受け入れません。この処理は、信用できない管理ポイントから新しいサイト サーバー署名証明書をクライアントが受け入れないようにする、セキュリティ保護によるものです。このシナリオでは、クライアントは新しいサイト サーバー署名証明書をダウンロードせず、ダウンロードしたポリシーを拒否し、管理ポイントにエラーを送信して、ポリシーの認証が失敗したことを管理者に通知します。このシナリオでは、クライアントは管理されていないため、管理者は修復作業を実施する必要があります。

ルート証明書を変更した後に新しいサイト サーバー署名証明書をインストールする必要がある場合は、まずクライアント上でスクリプトを実行して (Configuration Manager でタスク シーケンスを実行したり、グループ ポリシーを使用したりするなどによって)、レジストリに格納されている Configuration Manager クライアントの現在のサイト サーバー署名証明書のコピーを削除する必要があります。サイト サーバー署名証明書のクライアント コピーは、32 ビット版のオペレーティング システムでは次のレジストリ キーに格納されています。HKLM\SOFTWARE\Microsoft\CCM\Security。64 ビット版のオペレーティング システムでは次のレジストリ キーに格納されています。HKLM\SOFTWARE\Wow6432Node\Microsoft\CCM\Security

ルート証明書を変更した場合にサイト サーバー署名証明書のクライアント コピーを削除するには、AllowedRootCAHashCode (種類は REG_SZ) という名前の値を探し、16 進数の文字列として表示される関連した値データを削除します。

クライアントのレジストリを編集する以外の方法は、次のとおりです。

  • クライアントをアンインストールして、再インストールする。

  • CCMSetup コマンド ライン オプションを使用してクライアントを再インストールし、クライアントに新しいサイト サーバー署名証明書のコピーを提供する。

参照:

タスク

サイト サーバー署名証明書を使用したサイト サーバーの構成方法

概念

ネイティブ モードの証明書要件
クライアントにサイト サーバー署名証明書を展開する方法を決定する (ネイティブ モード)
サイト サーバーへのサイト サーバー署名証明書の展開